TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe

Halfar · 26.11.2009, 21:42

hallo leute !

vor etwa 30 min bekam ich von meinem antivir die meldung, ich hätte diesen trojaner: TR/Buzus.clsq in einer *.exe datei.
bin jetzt auf der suche nach lösungen wie ich das weg bekomme, weil ich ja gelesen habe,dass das ding nicht ungefährlich ist. bin jetzt nach der anleitung auf dieser seite wie folgt vorgegangen. ccleaner durchgeführt. am ende bleibt eine registrydatei übrig, die sich auch nicht manuell in der registry löschen lässt.

bin im moment bei schritt 2, nämlich Malwarebytes....der läuft jetzt noch.

Hier schonmal meine Hijackthis-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:54, on 26.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
G:\Programme\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
G:\DigitalPersonaPasswordManager 1.0.1\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Programme\Avira\Avira\AntiVir Desktop\sched.exe
G:\Programme\Avira\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
G:\DigitalPersonaPasswordManager 1.0.1\Bin\DpHost.exe
C:\WINDOWS\system32\libusbd-nt.exe
G:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
G:\DigitalPersonaPasswordManager 1.0.1\Bin\DPFUSMgr.exe
G:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
G:\DigitalPersonaPasswordManager 1.0.1\Bin\DPAgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
G:\Programme\Comodo\Firewall\cfp.exe
G:\Programme\Avira\Avira\AntiVir Desktop\avgnt.exe
G:\Programme\Winamp\winampa.exe
G:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
g:\programme\avira\avira\antivir desktop\avcenter.exe
G:\Programme\Avira\Avira\AntiVir Desktop\avscan.exe
G:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - G:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - G:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [DPAgnt] G:\DigitalPersonaPasswordManager 1.0.1\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [COMODO Internet Security] "G:\Programme\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "G:\Programme\Avira\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] G:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [DAEMON Tools] "G:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AlcoholAutomount] "G:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Yodm3D] G:\Programme\YodM3D\Yodm3D.exe
O4 - HKCU\..\Run: [ICQ] "G:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://G:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://G:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://G:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://G:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://G:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Wecker-Alarm - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Nach Wecker für Windows exportieren - {7B499570-29C5-4a80-9F57-94A420D140CE} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - G:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: winrkbdc.dll C:\WINDOWS\system32\guard32.dll
O20 - Winlogon Notify: autoplus - C:\WINDOWS\
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - G:\Programme\Avira\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - G:\Programme\Avira\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - G:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - G:\CPUCooL\CooLSrv.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - G:\DigitalPersonaPasswordManager 1.0.1\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - G:\DigitalPersonaPasswordManager 1.0.1\Bin\DpHost.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - G:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: NBService - Nero AG - G:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - G:\Programme\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - Unknown owner - G:\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe (file missing)
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - Unknown owner - G:\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 9255 bytes

ist es wirklich so gefährlich ? muss ich mir kummer machen ??? AAAANGGST :-)

vielen dank an euch schonmal.

gruß halfar

undoreal · 26.11.2009, 21:52

Halli hallo.

Dein System stammt aus dem Mittelalter.

Service Pack 3 ist Pflicht! Bitte installiere das nachdem wir mit der Bereinigung fertig sind.

Poste jetzt erstmal zwei AVZ logs und hänge sie an deinen nächsten Post an.

Poste außerdem folgende GMER logs:

GMER - Rootkit Detection

Lade GMER von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
Doppelklicke die zufälligerDateiname.exe
Der Reiter Rootkit oben ist schon angewählt

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Halfar · 26.11.2009, 22:00

okay...hört sich sehr kompliziert an. aber wenn du mir damit helfen kannst dann werd ich wohl das durcjmachen müssen. schonmal danke!!

soll ich Malwarebytes abbrechen oder trotzdem das ganze durchmachen?

undoreal · 26.11.2009, 22:02

Ist nicht kompliziert. MBMA kannst du ruhig weiterlaufen lassen und dann den Bericht hier posten.

Lies dir für die anderen Sachen einfach in Ruhe die Anleitungen durch und arbeite sie Schritt für Schritt ab dann ist das garnicht wild.

Halfar · 26.11.2009, 22:40

hey hier die AVZ logs

ich mach dann ma weiter ?!

Halfar · 26.11.2009, 22:43

mit der gmer.exe lässt sich nichts nafangen. wenn ich das programm starte kommt die windows fehlermeldung "...hat ein Problem festgestellt..."
was tun?

undoreal · 27.11.2009, 00:25

Du hast AVZ nicht geupdated oder? Hast du das Standard Skript Nummer 5. Update ausgeführt? Befindet sich im AVZ Ordner ein Unterordner der Base heisst und in dem sich viele Dateien befinden?

Wir müssen den MBR reparieren:

XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn du dazu aufgefordert wirst, wähle die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil des Setups startet, wähle die Option zum Reparieren oder Wiederherstellen, indem du die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangst du zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gibst du 'exit' ein.

Danach führe mit AVZ folgendes Skript aus:

Code:

ATTFilter

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\System32\Drivers\aogeejxv.SYS');
 DeleteFile('C:\WINDOWS\system32\drivers\ACEDRV07.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ACEDRV08.sys');
 DeleteFileMask('C:\WINDOWS\system32\drivers', 'ACEDRV*.*' ,true);
 DeleteFile('C:\WINDOWS\System32\Drivers\ak3vrbln.SYS');
 DeleteFile('spzn.sys');
 DelCLSID('855F3B16-6D32-4fe6-8A56-BBB695989046');
 DelCLSID('7B499570-29C5-4a80-9F57-94A420D140CE');
 DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263');
 DelCLSID('1E796980-9CC5-11D1-A83F-00C04FC99D61');
 DelCLSID('855F3B16-6D32-4fe6-8A56-BBB695989046');
 DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\tdc.ocx');
 DelCLSID('d7ca437757bb79190d8fe0f22734e38b');
 DeleteFileMask('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b', '*.*', true);
 DleteDirectory('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b');
 QuarantineFile('C:\WINDOWS\DPPWDFLT.dll');
 QuarantineFile('G:\Programme\YodM3D\Yodm3D.exe');
 DeleteFile('spee.sys');
BC_ImportAll; 
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Führe nach dem Neustart folgendes Skript aus:

Code:

ATTFilter

begin
CreateQuarantineArchive('C:\Quarantine.zip');
end.

Lade uns die C:\quarantine.zip auf den Uploadchannel hoch: http://www.trojaner-board.de/54791-a...ner-board.html

Bitte deinstalliere Deamon Tools über die Systemsteuerung.
Während der Deinstallation musst du den Rechner neustarten.

Danach downloade dir das Tool hier: http://www.trojaner-board.de/redirec...t-v162-x86.exe
Starte es durch einen Doppelklick. Im anschließenden Dialog wirst du den "Uninstall" Button finden. Betätige diesen um SPTD zu deinstallieren.
Starten den Rechner danach neu.

Räume mit dem CCleaner auf (Punkte 1&2).

Lösche GMER komplett.

Lade es dann neu herunter und versuche es zu starten.
Poste das log.

Halfar · 27.11.2009, 14:31

also wenn ich in der wiederherstellungskonsole bin und den befehl eingeb, warnt er mich, dass danach schädigungen da sein könnten und ich keinen zugriff mehr auf festplatten habe. soll ich weitermachen ?

reicht es nicht einfach meine festplatte komplett zu formatieren ?

undoreal · 27.11.2009, 14:32

Nein, der MBR muss auf jeden Fall neu geschrieben werden.

Halfar · 27.11.2009, 14:49

wenn ich das skript einfüge und einen check syntax mache meldet er mir einen fehler. trotzdem weitermachen?

error: not enough actual parameters at position 19:16

undoreal · 27.11.2009, 14:55

Hast du den MBR neuschreiben lassen?

Neues Skript:

Code:

ATTFilter

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\System32\Drivers\aogeejxv.SYS');
 DeleteFile('C:\WINDOWS\system32\drivers\ACEDRV07.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ACEDRV08.sys');
 DeleteFileMask('C:\WINDOWS\system32\drivers', 'ACEDRV*.*' ,true);
 DeleteFile('C:\WINDOWS\System32\Drivers\ak3vrbln.SYS');
 DeleteFile('spzn.sys');
 DelCLSID('855F3B16-6D32-4fe6-8A56-BBB695989046');
 DelCLSID('7B499570-29C5-4a80-9F57-94A420D140CE');
 DelCLSID('92780B25-18CC-41C8-B9BE-3C9C571A8263');
 DelCLSID('1E796980-9CC5-11D1-A83F-00C04FC99D61');
 DelCLSID('855F3B16-6D32-4fe6-8A56-BBB695989046');
 DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\tdc.ocx');
 DelCLSID('d7ca437757bb79190d8fe0f22734e38b');
 DeleteFileMask('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b', '*.*', true);
 DleteDirectory('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b');
 QuarantineFile('C:\WINDOWS\DPPWDFLT.dll', 'C:\quarantine.zip');
 QuarantineFile('G:\Programme\YodM3D\Yodm3D.exe', 'C:\quarantine.zip');
 DeleteFile('spee.sys');
BC_ImportAll; 
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Halfar · 27.11.2009, 14:56

ja hab ich. ok synthax ist jetzt korrekt

Halfar · 27.11.2009, 14:59

neuer fehler beim ausführen: failed to set data for Delfile1171

Halfar · 27.11.2009, 15:03

okay habs nochmal durchführen lassen und jetzt hats gefunzt. ich starte den pc neu

Halfar · 27.11.2009, 15:15

bei der zweiten skripteingabe (erstellen der quarantine.zip) kommt bei check synthax: Error:Undeclared Identifier: CreateQuarantineArchive at position 2:24

27.11.2009, 14:32	#9
undoreal /// AVZ-Toolkit Guru	$TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe - Standard$ TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe Nein, der MBR muss auf jeden Fall neu geschrieben werden. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe

Plagegeister aller Art und deren Bekämpfung: TR/Buzus.clsq gefunden in G:\Programme\RS Downloader\RSD 0.537Cu_sym\RSD.exe