Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Vundo.Gen nicht löschbar

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 27.12.2007, 16:46   #1
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



So, hier nun der Antivir report

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 27. Dezember 2007 16:40

Es wird nach 993748 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: F****
Computername: F****-OEGG4E9

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 13:16:24
AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 15:48:28
LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 15:32:43
LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 15:49:04
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 15:28:48
ANTIVIR2.VDF : 7.0.1.157 286720 Bytes 26.12.2007 15:28:48
ANTIVIR3.VDF : 7.0.1.163 17920 Bytes 27.12.2007 15:28:48
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 27.12.2007 15:28:48
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 10:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 07:16:50
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 27.12.2007 15:28:48
AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 07:17:02
AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 12:26:28
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 07:10:14
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 11:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 12:37:51
RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 12:50:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 09:37:21

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Donnerstag, 27. Dezember 2007 16:40

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WinRAR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nTuneService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\system32\awtsrsq.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\awtsrsq.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen

Die Registry wurde durchsucht ( '33' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\bx93sjgx.default\Cache\3397BD01d01
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.cro
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47accb44.qua' verschoben!
C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\gos10A.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e6cb8b.qua' verschoben!
C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\gosF8.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.PEC2X.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e6cb8d.qua' verschoben!
C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\win10E.exe
[FUND] Ist das Trojanische Pferd TR/Zlob.CA.78
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1cb8c.qua' verschoben!
C:\Dokumente und Einstellungen\F***\Lokale Einstellungen\Temp\winFE.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XDR.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e1cb93.qua' verschoben!
C:\WINDOWS\system32\awtsrsq.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Donnerstag, 27. Dezember 2007 17:30
Benötigte Zeit: 50:21 min

Der Suchlauf wurde vollständig durchgeführt.

7275 Verzeichnisse wurden überprüft
407396 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
407389 Dateien ohne Befall
3445 Archive wurden durchsucht
4 Warnungen
51 Hinweise

Geändert von PalimPalim (27.12.2007 um 17:39 Uhr)

Alt 27.12.2007, 17:33   #2
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Hallo,

habe mir wie so viele diesen tollen Trojaner eingefangen, welchen ich auch mit Vundofix nicht wegbekomme. Sowohl abgesicherten Modus als auch ohne. Erst hat er zwei Dateien gefunden, welche ich daraufhin gelöscht habe. Nun ist Vundo aber immernoch auf dem Rechner und Vundofix findet nix mehr. Habe hier mal ein HijackThis logfile erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 17:16:41, on 27.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
c:\programme\avira\antivir personaledition classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p:// Google
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - C:\Programme\Kbenhqmw\ljjkjrol.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {DB0B918E-A0A8-482B-8D75-A682816B0C7B} - C:\WINDOWS\system32\awtsrsq.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [qlipudif] rundll32.exe "C:\Programme\qlipudif\iruhqrqd.dll",Init
O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: awtsrsq - C:\WINDOWS\SYSTEM32\awtsrsq.dll
O20 - Winlogon Notify: winowl32 - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

So, hoffe das das so jetzt inordnung ist. Ein Antivir Logfile folgt auf dem Fuße
__________________


Alt 27.12.2007, 18:08   #3
Seitsef
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Hallo, also lade das mal bei Visutotal.com hoch und Poste das Ergebniss.
Und zwar forgendes:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll
C:\WINDOWS\system32\awtsrsq.dll

Fixe das hier im Abgesicherten Modus:
Code:
ATTFilter
O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All 
--
Users\Anwendungsdaten\mrepmbon.dll"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
--
O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - C:\Programme\Kbenhqmw\ljjkjrol.dll (file missing)
--
Unbekannt
R3 - URLSearchHook: SrchHook Class - {F4F10C1D-87C7-404A-B4B3-000000000000} - C:\PROGRA~1\DAP\SBSearch.dll (file missing)
--
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
--
O4 - HKLM\..\Run: [mrepmbon] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll"
--
         
Dann kannst du dir noch VundoFix runterladen und durchlaufen lassen.
Anleitung&Download

MFG Seitsef
__________________
__________________

Alt 27.12.2007, 18:18   #4
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Sorry, hab keine Ahnung von der ganzen Sache. Also wenn ich den Dateipfad da angebe und auf senden gehe, komm bloß "0 bytes size received / Se ha recibido un archivo vacio"
Wie soll das funktionieren?
Und wie soll ich die Zeilen denn fixen?
Also hab das nochmal per email probiert, weil die Systeme wohl ausgelastet sind und man gerade keinen check machen kann. Dummerweise lässt sich die eine Datei nicht anhängen und die andere gibt es scheinbar garnicht mehr:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mrepmbon.dll

Geändert von PalimPalim (27.12.2007 um 18:26 Uhr)

Alt 27.12.2007, 21:42   #5
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Hallo PalimPalim.


Uodate deinen i_Net Explorer bitte auf die aktuelle 7ner Version. Auch wenn du ihn nicht nutzt

Danach führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:
* Blacklight
* Silentrunners
* combofix
* eScan

halte bitte die Reihenfolge ein und starte den Rechner nach dem eScan NICHT neu! Poste das log und warte ab bis ich dir zurückgeschrieben habe! Deinen Rechner stört es übrigens nicht wenn er mal eine Nacht durchläuft..

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 28.12.2007, 00:46   #6
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Ok, also hier schonmal die ersten 3. Escan folgt wohl erst morgenfrüh, werde den Rechner rnicht ausschalten bis dahin.

Blacklight

12/27/07 23:41:18 [Info]: BlackLight Engine 1.0.67 initialized
12/27/07 23:41:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/27/07 23:41:18 [Note]: 7019 4
12/27/07 23:41:18 [Note]: 7005 0
12/27/07 23:41:22 [Note]: 7006 0
12/27/07 23:41:22 [Note]: 7011 1840
12/27/07 23:41:22 [Note]: 7026 0
12/27/07 23:41:23 [Note]: 7026 0
12/27/07 23:41:23 [Note]: FSRAW library version 1.7.1024
12/27/07 23:44:49 [Note]: 2000 1012
12/27/07 23:45:45 [Note]: 7007 0

Habe ich jetzt kein anderes logfile zu gefunden..

Silent Runners:

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"NVIDIA nTune" = ""C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear" ["NVIDIA"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"0IP5J3bsBJ" = "rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"SkyTel" = "SkyTel.EXE" ["Realtek Semiconductor Corp."]
"RivaTuner" = ""C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T" [empty string]
"NvCplDaemon" = ""RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = ""nwiz.exe" /install" ["NVIDIA Corporation"]
"NvMediaCenter" = ""RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"RivaTunerStartupDaemon" = ""C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S" [empty string]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"NoIE4StubProcessing" = "C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f" [MS]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub"
\StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS]
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig" [MS]
>{60B49E34-C7CC-11D0-8953-00A0C90347FF}\(Default) = "Browser Customizations"
\StubPath = "RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP" [MS]
{89820200-ECBD-11cf-8B85-00AA005B4383}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe -BaseSettings" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{76F262CF-0308-0FB4-F7A3-043266F3A47C}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kbenhqmw\ljjkjrol.dll" [file not found]
{DB0B918E-A0A8-482B-8D75-A682816B0C7B}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\awtsrsq.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" = "PowerISO"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{DB0B918E-A0A8-482B-8D75-A682816B0C7B}" = "*b" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\awtsrsq.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> awtsrsq\DLLName = "awtsrsq.dll" [file not found]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zipn.dll" ["Igor Pavlov"]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClassicShell" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|Windows Components|Windows Explorer|
Enable Classic Shell / Turn on Classic Shell}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 14
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
<<H>> "{F4F10C1D-87C7-404A-B4B3-000000000000}" = (no title provided)
-> {HKLM...CLSID} = "SrchHook Class"
\InProcServer32\(Default) = "C:\PROGRA~1\DAP\SBSearch.dll" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
nTune Service, nTuneService, "C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe /StartService" ["NVIDIA"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]


---------- (launch time: 2007-12-27 23:50:44)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 30 seconds, including 18 seconds for message boxes)

Alt 28.12.2007, 00:47   #7
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Combo Fix:

ComboFix 07-12-21.4 - Florian 2007-12-27 23:52:05.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2836 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Florian\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\PerfInfo
C:\WINDOWS\PerfInfo\0IP5J3bsBJuc.exe
C:\WINDOWS\PerfInfo\0IP5J3bsBJud.exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-27 bis 2007-12-27 ))))))))))))))))))))))))))))))
.

2007-12-27 23:41 . 2007-12-27 23:41 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-12-27 23:41 . 2007-12-27 23:41 751 --a------ C:\WINDOWS\system32\spupdsvc.inf
2007-12-27 23:40 . 2007-12-27 23:40 <DIR> d-------- C:\WINDOWS\LastGood
2007-12-27 20:33 . 2007-12-27 20:33 <DIR> d---s---- C:\Dokumente und Einstellungen\Florian\UserData
2007-12-27 19:16 . 2007-12-27 19:16 <DIR> d-------- C:\Programme\Webroot
2007-12-27 19:09 . 2007-12-27 19:09 164 --a------ C:\install.dat
2007-12-27 18:21 . 2007-12-27 18:21 <DIR> d-------- C:\Programme\VirusTotalUploader
2007-12-27 16:27 . 2007-12-27 16:27 <DIR> d-------- C:\Programme\Avira
2007-12-27 15:17 . 2007-12-27 15:35 <DIR> d-------- C:\VundoFix Backups
2007-12-27 14:51 . 2007-12-27 14:51 <DIR> d-------- C:\Programme\Lavasoft
2007-12-27 14:38 . 2007-12-27 14:38 <DIR> d-------- C:\WINDOWS\ppqvmpqr
2007-12-27 14:38 . 2007-12-27 14:45 <DIR> d-------- C:\Programme\Kbenhqmw
2007-12-27 14:38 . 2007-12-27 14:38 <DIR> d-------- C:\Program Files
2007-12-27 14:38 . 2007-12-27 14:38 1,283,174 --a------ C:\Install
2007-12-27 14:38 . 2007-12-27 14:38 208,896 --a------ C:\WINDOWS\system32\ndaTqsVqrX.dll
2007-12-27 14:37 . 2007-12-27 14:54 <DIR> d-------- C:\Programme\qlipudif
2007-12-27 14:26 . 2007-12-27 23:02 <DIR> d-------- C:\Programme\Steam
2007-12-22 17:33 . 2007-04-22 16:48 <DIR> d-------- C:\Programme\The Witcher
2007-12-22 15:47 . 2007-12-22 15:47 <DIR> d-------- C:\Programme\id Software
2007-12-22 10:10 . 2007-12-22 10:11 <DIR> d-------- C:\Cryptload
2007-12-22 08:44 . 2007-12-22 08:44 <DIR> d-------- C:\Programme\Paragon Software
2007-12-22 08:44 . 2006-10-02 10:51 4,239,360 --a------ C:\WINDOWS\system32\qtp-mt334.dll
2007-12-22 08:44 . 2006-10-02 10:51 30,808 --a------ C:\WINDOWS\system32\drivers\hotcore2.sys
2007-12-22 08:44 . 2006-10-02 10:51 8,192 --a------ C:\WINDOWS\system32\wnaspi32.dll
2007-12-21 11:34 . 2007-12-21 11:45 <DIR> d-------- C:\Programme\THQ
2007-12-20 21:38 . 2007-12-20 21:38 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Bioshock
2007-12-20 11:54 . 2007-12-22 08:50 <DIR> d-------- C:\Programme\The Witcher Demo
2007-12-19 11:31 . 2007-12-19 11:31 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Uniblue
2007-12-18 16:43 . 2007-12-18 16:43 <DIR> d-------- C:\WINDOWS\ShellNew
2007-12-18 16:43 . 2007-12-18 16:43 403 --a------ C:\WINDOWS\ODBC.INI
2007-12-17 17:26 . 2007-12-17 17:26 <DIR> d-------- C:\Programme\PC Inspector File Recovery
2007-12-17 17:26 . 2002-02-18 18:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD
2007-12-16 22:46 . 2007-12-16 22:46 <DIR> d-------- C:\Programme\Stardock
2007-12-16 22:46 . 2007-12-16 22:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Stardock
2007-12-15 12:29 . 2007-12-15 12:29 <DIR> d-------- C:\Programme\QuickTime
2007-12-15 12:29 . 2007-12-15 12:30 <DIR> d-------- C:\Programme\iTunes
2007-12-15 12:29 . 2007-12-15 12:29 <DIR> d-------- C:\Programme\iPod
2007-12-13 20:22 . 2007-12-13 20:22 <DIR> d-------- C:\Programme\Ubi Soft
2007-12-13 20:10 . 2007-12-13 20:10 <DIR> d-------- C:\Programme\Red Storm Entertainment
2007-12-13 20:08 . 2007-12-13 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2007-12-13 11:46 . 2007-12-22 15:35 <DIR> d-------- C:\Programme\Wolfenstein - Enemy Territory
2007-12-11 10:57 . 2007-12-11 10:57 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2007-12-11 10:57 . 2007-12-11 10:57 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts
2007-12-07 17:41 . 2002-11-28 10:22 140,488 --a------ C:\WINDOWS\system32\comdlg32.ocx
2007-12-07 17:41 . 2002-11-28 10:22 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
2007-12-07 17:41 . 2002-11-28 10:22 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2007-12-07 17:41 . 2002-11-28 10:22 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
2007-12-07 17:41 . 2002-11-28 10:22 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
2007-12-07 17:41 . 2002-11-28 10:22 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
2007-12-07 17:41 . 2002-11-28 10:22 29,184 --a------ C:\WINDOWS\system32\MSINET.oca
2007-12-07 17:41 . 2002-11-28 10:22 26,064 --a------ C:\WINDOWS\system32\xmlinst.exe
2007-12-07 17:41 . 2002-11-28 10:22 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-12-07 17:27 . 2007-12-27 00:44 <DIR> d-------- C:\Spiele
2007-12-06 18:57 . 2007-12-19 16:27 <DIR> d-------- C:\Programme\EA GAMES
2007-12-03 20:11 . 2007-12-03 20:14 754 --a------ C:\WINDOWS\WORDPAD.INI
2007-12-01 22:53 . 2007-12-22 10:12 <DIR> d-------- C:\Programs
2007-12-01 22:50 . 2007-12-01 22:50 <DIR> d-------- C:\Programme\Bethesda Softworks
2007-12-01 20:00 . 2007-12-14 08:55 <DIR> d-------- C:\Programme\Xfire
2007-12-01 20:00 . 2007-12-14 09:59 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Xfire
2007-12-01 19:51 . 2007-12-01 19:51 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-12-01 12:26 . 2007-12-01 12:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-11-30 21:29 . 2007-11-30 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
2007-11-30 21:29 . 2007-11-30 21:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nHancer
2007-11-28 20:31 . 2007-11-28 23:42 <DIR> d-------- C:\Programme\7-Zip
2007-11-28 11:16 . 2007-11-28 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback
2007-11-28 11:12 . 2007-11-28 11:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-11-28 11:11 . 2007-11-11 21:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-28 11:11 . 2007-11-11 21:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2007-11-28 11:11 . 2007-11-11 21:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-28 11:11 . 2007-12-27 19:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-28 11:11 . 2007-11-28 11:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-28 11:11 . 2007-11-11 21:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-28 11:11 . 2007-11-28 11:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-27 20:18 . 2007-12-26 14:40 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-11-27 20:17 . 2007-12-26 14:40 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-11-27 20:17 . 2007-04-22 22:16 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-11-27 11:30 . 2007-11-27 11:30 <DIR> d-------- C:\Programme\RivaTuner v2.06
2007-11-27 11:14 . 2006-03-23 19:53 442,368 --a------ C:\WINDOWS\system32\CapabilityTable.exe
2007-11-27 11:14 . 2007-11-12 08:03 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-11-27 11:14 . 2006-03-23 20:51 208,896 --a------ C:\WINDOWS\system32\nvusmb.exe
2007-11-27 11:14 . 2006-03-23 19:51 208,896 --a------ C:\WINDOWS\system32\nvunrm.exe
2007-11-27 11:14 . 2006-04-14 14:00 208,896 --------- C:\WINDOWS\system32\nvuide.exe
2007-11-27 11:14 . 2006-03-22 14:23 109,568 --a------ C:\WINDOWS\system32\drivers\nvtcp.sys
2007-11-27 11:14 . 2006-02-20 13:00 3,903 --a------ C:\WINDOWS\system32\nvnrm.nvu
2007-11-27 11:14 . 2006-02-20 13:00 1,864 --a------ C:\WINDOWS\system32\nvsmb.nvu
2007-11-27 11:14 . 2006-02-20 13:00 1,570 --------- C:\WINDOWS\system32\nvide.nvu
2007-11-27 11:13 . 2007-11-27 11:16 <DIR> d-------- C:\NVIDIA
2007-11-27 09:43 . 2007-11-27 09:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

Alt 28.12.2007, 00:48   #8
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Zweiter Teil:
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-27 19:05 --------- d-----w C:\Programme\ICQToolbar
2007-12-27 18:33 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\uTorrent
2007-12-22 14:56 22,328 ----a-w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\PnkBstrK.sys
2007-12-22 14:33 --------- d-----w C:\Programme\Ubisoft
2007-12-21 09:19 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-20 17:06 --------- d-----w C:\Programme\Electronic Arts
2007-12-18 15:42 --------- d-----w C:\Programme\microsoft frontpage
2007-12-14 09:02 --------- d-----w C:\Programme\Activision
2007-12-04 23:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-12-04 23:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-12-04 23:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-12-04 23:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-12-04 23:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-04 23:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-12-04 23:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-12-04 23:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-12-04 23:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-12-04 23:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-12-04 23:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-12-04 23:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-12-04 23:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-12-04 23:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-12-04 23:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-12-04 23:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-12-04 23:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-12-04 23:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-12-04 23:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-12-04 23:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-12-04 23:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-12-04 23:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-12-04 23:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-12-04 23:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-12-04 23:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-12-04 23:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-12-04 23:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-12-04 23:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-12-04 23:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-12-04 23:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-12-04 23:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-12-04 23:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-12-04 23:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-12-04 23:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-12-04 23:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-12-04 23:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-12-04 23:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-12-04 23:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-12-04 23:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-12-04 23:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-12-04 23:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-12-04 23:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-12-04 23:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-12-04 23:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-12-04 23:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-12-04 23:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-12-04 23:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-12-04 23:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-12-04 23:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-12-04 23:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-12-04 23:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-12-04 23:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-12-04 23:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-12-04 23:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-12-04 23:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-12-04 23:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll
2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-12-04 23:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-12-04 23:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-12-04 23:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-12-04 23:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-12-04 23:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-12-04 23:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-12-04 23:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-12-04 23:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-12-04 23:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-12-04 23:41 2,498,560 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-12-04 23:41 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll
2007-12-04 23:41 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-12-04 23:41 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll
2007-12-04 23:41 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll
2007-12-04 23:41 155,716 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2007-12-04 23:41 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-12-04 23:41 126,976 ----a-w C:\WINDOWS\system32\nvrszht.dll
2007-12-04 23:41 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
2007-12-04 23:41 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-12-04 23:41 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll
2007-12-04 23:41 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe
2007-12-04 23:41 1,228,800 ----a-w C:\WINDOWS\system32\nvmobls.dll
.

((((((((((((((((((((((((((((( snapshot@2007-12-27_19.55.18,71 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-03 23:57:16 61,440 -c----w C:\WINDOWS\ie7\admparse.dll
+ 2004-08-03 23:57:16 102,400 -c----w C:\WINDOWS\ie7\advpack.dll
+ 2004-08-03 23:57:18 35,328 -c----w C:\WINDOWS\ie7\corpol.dll
+ 2007-08-22 13:13:00 357,888 -c----w C:\WINDOWS\ie7\dxtmsft.dll
+ 2007-08-22 13:13:01 205,312 -c----w C:\WINDOWS\ie7\dxtrans.dll
+ 2007-08-22 13:13:01 55,808 -c----w C:\WINDOWS\ie7\extmgr.dll
+ 2004-08-03 23:57:22 38,912 -c----w C:\WINDOWS\ie7\hmmapi.dll
+ 2004-08-03 23:57:58 34,304 -c----w C:\WINDOWS\ie7\ie4uinit.exe
+ 2004-08-03 23:57:22 139,264 -c----w C:\WINDOWS\ie7\ieakeng.dll
+ 2004-08-03 23:57:22 220,672 -c----w C:\WINDOWS\ie7\ieaksie.dll
+ 2001-08-18 12:00:00 237,568 -c----w C:\WINDOWS\ie7\ieakui.dll
+ 2004-08-03 23:57:22 323,584 -c----w C:\WINDOWS\ie7\iedkcs32.dll
+ 2007-08-21 10:30:45 18,432 -c----w C:\WINDOWS\ie7\iedw.exe
+ 2004-08-03 23:57:22 81,920 -c----w C:\WINDOWS\ie7\ieencode.dll
+ 2007-08-22 13:13:01 251,392 -c----w C:\WINDOWS\ie7\iepeers.dll
+ 2004-08-03 23:57:22 49,152 -c----w C:\WINDOWS\ie7\iernonce.dll
+ 2004-08-03 23:57:22 64,000 -c----w C:\WINDOWS\ie7\iesetup.dll
+ 2004-08-03 23:57:58 93,184 -c----w C:\WINDOWS\ie7\iexplore.exe
+ 2004-08-03 23:57:22 35,840 -c----w C:\WINDOWS\ie7\imgutil.dll
+ 2007-08-22 13:13:01 96,768 -c----w C:\WINDOWS\ie7\inseng.dll
+ 2006-05-18 05:36:05 450,560 -c----w C:\WINDOWS\ie7\jscript.dll
+ 2007-08-22 13:13:01 16,384 -c----w C:\WINDOWS\ie7\jsproxy.dll
+ 2004-08-03 23:57:24 22,016 -c----w C:\WINDOWS\ie7\licmgr10.dll
+ 2004-08-03 23:58:06 29,184 -c----w C:\WINDOWS\ie7\mshta.exe
+ 2007-08-22 13:13:02 3,079,168 -c----w C:\WINDOWS\ie7\mshtml.dll
+ 2007-08-22 13:13:02 449,024 -c----w C:\WINDOWS\ie7\mshtmled.dll
+ 2004-08-03 23:55:32 57,344 -c----w C:\WINDOWS\ie7\mshtmler.dll
+ 2001-08-18 12:00:00 146,432 -c----w C:\WINDOWS\ie7\msls31.dll
+ 2007-08-22 13:13:02 146,432 -c----w C:\WINDOWS\ie7\msrating.dll
+ 2007-08-22 13:13:02 532,480 -c----w C:\WINDOWS\ie7\mstime.dll
+ 2004-08-03 23:57:32 97,792 -c----w C:\WINDOWS\ie7\occache.dll
+ 2007-08-22 13:13:02 39,424 -c----w C:\WINDOWS\ie7\pngfilt.dll
+ 2007-09-26 17:08:50 33,472 -c----w C:\WINDOWS\ie7\spuninst\iecustom.dll
+ 2007-09-26 17:06:42 66,048 -c--a-w C:\WINDOWS\ie7\spuninst\ieResetIcons.exe
+ 2006-09-06 16:42:32 217,312 -c----w C:\WINDOWS\ie7\spuninst\spuninst.exe
+ 2006-09-06 16:42:34 377,568 -c----w C:\WINDOWS\ie7\spuninst\updspapi.dll
+ 2004-08-03 23:57:38 37,888 -c----w C:\WINDOWS\ie7\url.dll
+ 2007-08-22 13:13:03 617,472 -c----w C:\WINDOWS\ie7\urlmon.dll
+ 2004-08-03 23:57:38 417,792 -c----w C:\WINDOWS\ie7\vbscript.dll
+ 2007-06-26 13:55:41 851,968 -c----w C:\WINDOWS\ie7\vgx.dll
+ 2004-08-03 23:57:38 281,088 -c----w C:\WINDOWS\ie7\webcheck.dll
+ 2007-08-22 13:13:04 664,576 -c----w C:\WINDOWS\ie7\wininet.dll
+ 2007-08-13 17:39:20 71,680 -c----w C:\WINDOWS\system32\dllcache\admparse.dll
+ 2007-08-13 17:39:00 123,904 -c----w C:\WINDOWS\system32\dllcache\advpack.dll
+ 2007-08-13 17:42:54 17,408 -c----w C:\WINDOWS\system32\dllcache\corpol.dll
+ 2007-08-13 17:54:10 33,792 -c----w C:\WINDOWS\system32\dllcache\custsat.dll
+ 2007-08-13 17:18:02 60,416 -c----w C:\WINDOWS\system32\dllcache\hmmapi.dll
+ 2007-08-13 17:39:06 54,784 -c----w C:\WINDOWS\system32\dllcache\ie4uinit.exe
+ 2007-08-13 17:39:26 152,064 -c----w C:\WINDOWS\system32\dllcache\ieakeng.dll
+ 2007-08-13 17:39:54 229,376 -c----w C:\WINDOWS\system32\dllcache\ieaksie.dll
+ 2007-08-13 17:39:50 382,976 -c----w C:\WINDOWS\system32\dllcache\iedkcs32.dll
+ 2007-08-13 17:45:18 78,336 -c----w C:\WINDOWS\system32\dllcache\ieencode.dll
+ 2007-08-13 17:39:10 43,008 -c----w C:\WINDOWS\system32\dllcache\iernonce.dll
+ 2007-08-13 17:39:12 55,296 -c----w C:\WINDOWS\system32\dllcache\iesetup.dll
+ 2007-08-13 17:43:56 622,080 -c----w C:\WINDOWS\system32\dllcache\iexplore.exe
+ 2007-08-13 17:36:06 36,352 -c----w C:\WINDOWS\system32\dllcache\imgutil.dll
+ 2007-08-13 17:44:18 40,960 -c----w C:\WINDOWS\system32\dllcache\licmgr10.dll
+ 2007-08-13 17:32:30 45,568 -c----w C:\WINDOWS\system32\dllcache\mshta.exe
+ 2007-08-13 17:01:12 48,128 -c----w C:\WINDOWS\system32\dllcache\mshtmler.dll
+ 2007-08-13 17:44:06 101,376 -c----w C:\WINDOWS\system32\dllcache\occache.dll
+ 2007-08-13 17:44:30 105,984 -c----w C:\WINDOWS\system32\dllcache\url.dll
+ 2007-08-13 17:54:10 413,696 -c----w C:\WINDOWS\system32\dllcache\vbscript.dll
+ 2007-08-13 17:54:10 231,424 -c----w C:\WINDOWS\system32\dllcache\webcheck.dll
+ 2007-08-13 17:36:26 61,952 ------w C:\WINDOWS\system32\icardie.dll
+ 2006-06-29 07:05:44 26,112 ------w C:\WINDOWS\system32\idndl.dll
+ 2007-02-12 15:10:12 2,451,312 ------w C:\WINDOWS\system32\ieapfltr.dat
+ 2007-07-11 11:27:48 383,488 ------w C:\WINDOWS\system32\ieapfltr.dll
+ 2007-08-13 17:54:10 6,049,280 ------w C:\WINDOWS\system32\ieframe.dll
+ 2007-08-13 17:34:04 266,752 ------w C:\WINDOWS\system32\iertutil.dll
+ 2007-08-13 17:39:10 13,312 ----a-w C:\WINDOWS\system32\ieudinit.exe
+ 2007-08-13 17:54:10 180,736 ------w C:\WINDOWS\system32\ieui.dll
+ 2007-08-13 17:54:10 458,752 ------w C:\WINDOWS\system32\msfeeds.dll
+ 2007-08-13 17:54:10 50,688 ------w C:\WINDOWS\system32\msfeedsbs.dll
+ 2007-08-13 17:36:40 12,288 ------w C:\WINDOWS\system32\msfeedssync.exe
+ 2006-06-28 16:59:26 24,576 ------w C:\WINDOWS\system32\nlsdl.dll
+ 2006-06-29 07:05:44 23,552 ------w C:\WINDOWS\system32\normaliz.dll
- 2007-03-06 01:14:08 15,584 ------w C:\WINDOWS\system32\spmsg.dll
+ 2006-09-06 16:42:32 15,584 ------w C:\WINDOWS\system32\spmsg.dll
- 2005-06-28 09:21:34 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe
+ 2006-09-06 16:42:32 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe
+ 2007-08-13 17:45:16 206,336 ------w C:\WINDOWS\system32\WinFXDocObj.exe
+ 2006-07-14 15:51:51 121,856 ------w C:\WINDOWS\system32\xmllite.dll
+ 2007-12-27 22:01:35 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_22c.dat
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{76F262CF-0308-0FB4-F7A3-043266F3A47C}]
C:\Programme\Kbenhqmw\ljjkjrol.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-07-03 12:32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-18 07:27 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe]
"RivaTuner"="C:\Programme\RivaTuner v2.06\RivaTuner.exe" [2007-10-30 19:05]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2007-12-05 00:41 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32\rundll32.exe]
"RivaTunerStartupDaemon"="C:\Programme\RivaTuner v2.06\RivaTuner.exe" [2007-10-30 19:05]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-27 16:28]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"NoIE4StubProcessing"="C:\WINDOWS\system32\reg.exe" [2004-08-04 00:58]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsrsq]
awtsrsq.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winowl32]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sinus 154 stick WLAN Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sinus 154 stick WLAN Manager.lnk
backup=C:\WINDOWS\pss\Sinus 154 stick WLAN Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2007-05-11 03:06 40048 --a------ C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadAccelerator]
C:\Programme\DAP\DAP.EXE /STARTUP

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2007-12-11 12:10 267048 --a------ C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nHancer]
C:\Programme\nHancer\nHancer.exe /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
C:\Programme\Steam\Steam.exe -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2007-09-25 01:11 132496 --a------ C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe /S

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"SharedAccess"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"wscsvc"=2 (0x2)

R0 hotcore2;hotcore2;C:\WINDOWS\system32\drivers\hotcore2.sys [2006-10-02 10:51]
R3 RivaTuner32;RivaTuner32;C:\Programme\RivaTuner v2.06\RivaTuner32.sys [2007-10-30 19:05]

.
Inhalt des "geplante Tasks" Ordners
"2007-12-24 14:06:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-27 23:54:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-27 23:54:21
C:\ComboFix2.txt ... 2007-12-27 19:55
.
2007-11-13 21:10:22 --- E O F ---

Alt 28.12.2007, 01:44   #9
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Also hier nun das Escan log. Hoffe ich habe das richtig gemacht. Ist komprimiert:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 12/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/classicshell)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP106\A0103374.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP116\A0107164.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP118\A0107412.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP133\A0111973.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124450.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP140\A0124639.dll infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\VundoFix Backups\vtuvwxv.dll.bad infiziert von "Trojan.Win32.Obfuscated.lf" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\CryptLoad_1.0.4.rar/CryptLoad_1.0.4\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Microsoft_Windows_XP_Service_Pack_2.zip/keyfinder.exe/officekey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen.
Datei C:\Cryptload\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\CryptLoad_1.0.4.rar/CryptLoad_1.0.4\router\FRITZ!Box\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Microsoft_Windows_XP_Service_Pack_2.zip/keyfinder.exe/officekey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP127\A0107845.exe//WiseSFXDropper//WISE0010.BIN markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bk". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124470.exe markiert als "not-a-virus:FraudTool.Win32.DrAntispy.ag". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124471.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP139\A0124473.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\install.dat
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = awtsrsq.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtsrsq). Deleting Registry Key awtsrsq...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\System Volume Information\_restore{3D21FF8E-7222-490A-9F1D-525E700D61B3}\RP111\A0103654.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 124105
Gefundene Viren: 22
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 182
Dauer des Scans bisher: 01:32:33
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 1:41:50,59
Batchende: 1:41:53,20

Mich wundert es ja gerade zu. Mein geliebter Vundo scheint nicht darunter zu sein. Und auch der drop.agent. cro ist nicht mehr da. Hatte die irgendwie umbenannt, da wegen den Teilen ständig Meldungen im Antivir aufpoppten. Vielleicht hängt es damit zusammen aber wiegesagt, besonders viel weiss ich von dem ganzen auch nicht. Beim scan hatte er am Ende 26 Viren angezeigt, wovon viele wohl allerdings fake oder ein Irrtum waren

Geändert von PalimPalim (28.12.2007 um 01:56 Uhr)

Alt 28.12.2007, 13:28   #10
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Soweit ich das beurteilen kann, habe ich mir ein einen backdoor eingefangen. Wäre echt dankbar für Hilfe

Alt 28.12.2007, 13:53   #11
undoreal
/// AVZ-Toolkit Guru
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Also. Das ist so einiges nicht in Ordnung. Durch Vundo steigt momentan niemand so richtig durch; jedenfalls expandiert der wie nichts gutes..


Wir müssen jetzt ein paar Dinge erledigen. Lies dir bitte die folgenden Punkte gut durch und lade dir alle erforderlichen Programme in einen Ordner (nicht auf den Desktop!) herunter. Drucke dir diesen Thread am besten aus oder speichere ihn ebenfalls in diesem Ordner.

Trenne deinen Rechner physikalisch vom Netz. Stecker ziehen!

Deinstalliere Java über die Sytemsteuerung->Software.



Schädlinge im Ordner der Systemwiederherstellung:


* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten.

Starte den Rechner zwischen den folgenden Punkten NICHT neu. Auch wenn danach gefragt wird.


Starte den Rechner im abgesicherten Modus. So geht's -> TU Berlin - Virus-Info - Extra-Blatt: Abgesicherter Modus


1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Code:
ATTFilter
Files to delete: 

C:\WINDOWS\system32\ndaTqsVqrX.dll
C:\WINDOWS\system32\reg.exe
C:\WINDOWS\system32\ieudinit.exe
C:\WINDOWS\system32\ie4uinit.exe 
C:\PROGRA~1\ICQTOO~1\toolbaru.dll
C:\WINDOWS\system32\awtsrsq.dll
C:\WINDOWS\system32\awtsrsq.dll
C:\WINDOWS\system32\qtp-mt334.dll
C:\WINDOWS\system32\nvcolor.exe
C:\WINDOWS\system32\nvdspsch.exe
C:\install.dat 
C:\WINDOWS\system32\swreg.exe 
C:\WINDOWS\system32\swsc.exe 
C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip



Folders to delete:

C:\Programme\Kbenhqmw
C:\Programme\qlipudif
         
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.


Dann lassen wir nur zur Sicherheit nochmal Smidtfraudfix und vundofix laufen.

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System bereinigen. (Option 2)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans.


Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.


Nach dem ganze Bereinigungen lässt du cCleaner laufen. (Installation OHNE die Toolbar!)
Hinweis: Die Registry (findest du links unter Probleme/Issues) musst du mehrmals durchsuchen und bereinigen lassen.


So, das sollte es dann hoffentlich gewesen sein. Melde dich danach mit frischem HJT log und einer Beschreibung wie es deinem Rechner geht.. ^^
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 28.12.2007, 15:03   #12
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



Also es gibt folgendes zusagen: Habe alle Schritte durchgeführt. Avenger erstellte auch ein Logfile nur sagte er, dass dies erneut erstellt werden müsse, weil er es nicht mehr finde. Logfile ist vorhanden, jedoch leer. Er hat die Dateien auch gefunden und gelöscht plus neustart, mit Ausnahme von ein oder zwei, welche wohl nicht mehr vorhanden waren. Lasse gerade noch Vundofix und anschließend CCleaner durchlaufen usw, um dir dann das Hijacklog zu schicken.

Ergebnis von Smitfraufix ist hier:

SmitFraudFix v2.274

Scan done at 14:53:06,78, 28.12.2007
Run from C:\Notstand\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller #2 - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{04CA7C1C-D5AC-4722-A289-FFA2F194D363}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{04CA7C1C-D5AC-4722-A289-FFA2F194D363}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{04CA7C1C-D5AC-4722-A289-FFA2F194D363}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.


»»»»»»»»»»»»»»»»»»»»»»»» End

Geändert von PalimPalim (28.12.2007 um 15:20 Uhr)

Alt 28.12.2007, 15:16   #13
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



So, hier das BRANDNEUE HijackThis Logfile:

MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\Programme\RivaTuner v2.06\RivaTuner.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Florian\Desktop\HiJackThis202.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: (no name) - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Policies\Explorer\Run: [0IP5J3bsBJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: winowl32 - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

--
End of file - 4529 bytes


Schon jetzt erstmal tausend Dank! Keine Ahnung, ob jetzt alles inordnung ist, bisher ist nichts auffälliges passiert. Kann man die Systemwiederherstellung jetzt wieder aktivieren, wenn das Logfile soweit okay ist?

P.s die Frage mag jetzt vielleicht für Verwirrung stiften aber weshalb steht bei mir der Thread auf dem Kopf? ernsthaft, der letzte Beitrag steht hier auf Seite 1 ganz oben. So, ICQ toolbar hab ich im nachhinein komplett runtergeschmissen.

Geändert von PalimPalim (28.12.2007 um 15:33 Uhr)

Alt 28.12.2007, 15:43   #14
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



also mittlerweile hat sich die Begeisterung wieder gelegt
Denn gerade poppte wieder das hier auf:



hatte gerade noch eine Datei mit dem namen "23990098.$$$" gefunden, welche nun allerdings sicherheitshalber gelöscht ist.
Ok, hab noch nen Ordner "Malware Alarm" ins Jenseits geschickt. Vielleicht waren das ja die Reste. Hoffe nur das wenn dies so ist, dort nicht noch irgendwo eine kontrolldatei schlummert

Geändert von PalimPalim (28.12.2007 um 15:49 Uhr)

Alt 28.12.2007, 16:10   #15
PalimPalim
 
TR/Vundo.Gen nicht löschbar - Standard

TR/Vundo.Gen nicht löschbar



So, habe es nochmal von vorne gemacht:

Hier nun das Avenger log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\p^vtbodg

*******************

Script file located at: \??\C:\WINDOWS\system32\hqchntlq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ndaTqsVqrX.dll deleted successfully.
File C:\WINDOWS\system32\reg.exe deleted successfully.
File C:\WINDOWS\system32\ieudinit.exe deleted successfully.
File C:\WINDOWS\system32\ie4uinit.exe deleted successfully.


Could not open file C:\PROGRA~1\ICQTOO~1\toolbaru.dll for deletion
Deletion of file C:\PROGRA~1\ICQTOO~1\toolbaru.dll failed!

Could not process line:
C:\PROGRA~1\ICQTOO~1\toolbaru.dll
Status: 0xc000003a



File C:\WINDOWS\system32\awtsrsq.dll not found!
Deletion of file C:\WINDOWS\system32\awtsrsq.dll failed!

Could not process line:
C:\WINDOWS\system32\awtsrsq.dll
Status: 0xc0000034



File C:\WINDOWS\system32\awtsrsq.dll not found!
Deletion of file C:\WINDOWS\system32\awtsrsq.dll failed!

Could not process line:
C:\WINDOWS\system32\awtsrsq.dll
Status: 0xc0000034

File C:\WINDOWS\system32\qtp-mt334.dll deleted successfully.
File C:\WINDOWS\system32\nvcolor.exe deleted successfully.
File C:\WINDOWS\system32\nvdspsch.exe deleted successfully.
File C:\install.dat deleted successfully.
File C:\WINDOWS\system32\swreg.exe deleted successfully.
File C:\WINDOWS\system32\swsc.exe deleted successfully.


File C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip not found!
Deletion of file C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip failed!

Could not process line:
C:\Dokumente und Einstellungen\Florian\Desktop\Zwischenablage\Micro soft_Windows_XP_Service_Pack_2.zip
Status: 0xc0000034



Folder C:\Programme\Kbenhqmw not found!
Deletion of folder C:\Programme\Kbenhqmw failed!

Could not process line:
C:\Programme\Kbenhqmw
Status: 0xc0000034



Folder C:\Programme\qlipudif not found!
Deletion of folder C:\Programme\qlipudif failed!

Could not process line:
C:\Programme\qlipudif
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

und hier hijackthis

Scan saved at 16:09:13, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RivaTuner v2.06\RivaTuner.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programs\HiJackThis202.exe

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {F4F10C1D-87C7-404A-B4B3-000000000000} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {76F262CF-0308-0FB4-F7A3-043266F3A47C} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.06\RivaTuner.exe" /S
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Policies\Explorer\Run: [0IP5J3bsBJ] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: winowl32 - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

--
End of file - 4451 bytes

Beim jetzigen start kam wieder irgendwas von dll rundl vermisst. Hab dann wieder mit CCleaner aufgeräumt und bis jetzt ist nichts passiert. So wie es aussieht konnte er einige nicht öffnen, löschen. Vielleicht weil es eben schon geschehen ist.

Geändert von PalimPalim (28.12.2007 um 16:15 Uhr)

Antwort

Themen zu TR/Vundo.Gen nicht löschbar
.dll, 0 bytes, 7 viren, antivir, avg, avgnt.exe, avira, ctfmon.exe, dateien, drivers, einstellungen, fehler, firefox.exe, iexplore.exe, logon.exe, lsass.exe, modul, mozilla, namen, nt.dll, programme, prozesse, quara, registry, rthdcpl.exe, rundll, sched.exe, services.exe, suchlauf, svchost.exe, system, temp, tr/vundo.gen, verweise, virus, virus gefunden, warnung, windows, windows\system32\drivers, winlogon.exe




Ähnliche Themen: TR/Vundo.Gen nicht löschbar


  1. deltafix.dll nicht löschbar!
    Plagegeister aller Art und deren Bekämpfung - 20.12.2014 (1)
  2. Farmaster.net nicht löschbar
    Log-Analyse und Auswertung - 20.09.2014 (3)
  3. Schlüssel nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 28.05.2014 (2)
  4. exe Datei heruntergeladen, nicht aufgestarten, nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 04.12.2013 (1)
  5. Programme nicht löschbar - Delta Search evtl. nicht sicher entfernt.
    Plagegeister aller Art und deren Bekämpfung - 26.05.2013 (17)
  6. Ask-Suche nicht löschbar+Windows Defender funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 22.03.2013 (1)
  7. Virtumonde.sci nicht löschbar! selbst nach Neustart nicht
    Log-Analyse und Auswertung - 29.01.2009 (1)
  8. Malware nicht löschbar!
    Mülltonne - 21.10.2008 (0)
  9. Vundo.Gen Datei nicht löschbar
    Mülltonne - 08.03.2008 (0)
  10. gebcc.dll TR/Vundo.AZ nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 21.12.2007 (28)
  11. Trojaner, Vundo, Fotomoto teilweise nicht löschbar!
    Plagegeister aller Art und deren Bekämpfung - 07.12.2007 (0)
  12. Virus TR/Vundo.Gen C:\WINDOWS\system32\vstr.dll nicht löschbar??
    Log-Analyse und Auswertung - 08.10.2007 (2)
  13. Hartnäckiger Trojaner "Vundo" NICHT löschbar bzw. entfernbar!
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (1)
  14. TR/Vundo.Gen nicht löschbar, bitte um hilfe
    Log-Analyse und Auswertung - 30.08.2007 (16)
  15. Tr/Vundo.gen nicht löschbar
    Mülltonne - 17.10.2006 (1)
  16. TR/PSW.PdPi.CT.1.D nicht löschbar
    Mülltonne - 25.07.2006 (1)
  17. Backdoor nicht löschbar!
    Plagegeister aller Art und deren Bekämpfung - 18.03.2003 (25)

Zum Thema TR/Vundo.Gen nicht löschbar - So, hier nun der Antivir report AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Donnerstag, 27. Dezember 2007 16:40 Es wird nach 993748 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 - TR/Vundo.Gen nicht löschbar...
Archiv
Du betrachtest: TR/Vundo.Gen nicht löschbar auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.