TR/VUNDO.GEN in Windows 32 .dll dateien

Afrodisiaka · 06.01.2010, 19:40

Hallo Leute,
Ich kenn mich leider ueberhaupt nicht mit Trojanern und anderen Viren, Wuermern etc. aus, daher bin ich jetzt hier gelandet. Habe die ersten Schritte (Crap Cleaner, Malwarebytes-Anti-Malware, RSIT) durchgefuehrt und poste jetzt hier einfach mal alle Logs. Nachdem ich Malwarebytes durchlaufen lassen habe, kamen keine neue Alert-Fenster von Antivir, daher hoffe ich mal das der Trojaner endlich weg ist... Aber um sicher zu gehen schick ich es trotzdem mal:

Erstmal von antivir: C://windows/syestem32/vostkw.dll --> TR/Vundo.Gen Trojan

Jetzt alle anderen:

RSIT info:
info.txt logfile of random's system information tool 1.06 2010-01-06 19:16:05

======Uninstall list======

-->C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Reader 8.1.2-->MsiExec.exe /I{AC76BA86-7AD7-1033-7B44-A81200000003}
Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
FEAR-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{2B653229-9854-4989-B780-D978F5F13EAB}\setup.exe" -l0x7 /zU -removeonly
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
ICQ6-->"C:\Program Files\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
iTunes-->MsiExec.exe /I{553E56C3-7AA1-45FE-A2FC-2C43DC27F765}
Java(TM) 6 Update 11-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Java(TM) 6 Update 7-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070}
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.0.5)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Nero Suite-->C:\Program Files\Common Files\Nero\Uninstall\setup.exe /uninstall ExtraUninstallID=""
Oblivion-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{35CB6715-41F8-4F99-8881-6FC75BF054B0}\setup.exe" -l0x9 -removeonly
OpenOffice.org Installer 1.0-->MsiExec.exe /X{0D499481-22C6-4B25-8AC2-6D3F6C885FB9}
QuickTime-->MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175}
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\Setup.exe" -l0x9 -removeonly
REALTEK GbE & FE Ethernet PCI NIC Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}\Setup.exe" -l0x9 -removeonly
Security Update for Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Security Update for Windows Media Player 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Security Update for Windows Media Player 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Security Update for Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Security Update for Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Security Update for Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Security Update for Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Security Update for Windows XP (KB950759)-->"C:\WINDOWS\$NtUninstallKB950759$\spuninst\spuninst.exe"
Security Update for Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Security Update for Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Security Update for Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Security Update for Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Security Update for Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe"
Security Update for Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Security Update for Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Security Update for Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Security Update for Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Security Update for Windows XP (KB953838)-->"C:\WINDOWS\$NtUninstallKB953838$\spuninst\spuninst.exe"
Security Update for Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Security Update for Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Security Update for Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Security Update for Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Security Update for Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Security Update for Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
Security Update for Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Security Update for Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Security Update for Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Security Update for Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Security Update for Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Security Update for Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Security Update for Windows XP (KB958215)-->"C:\WINDOWS\$NtUninstallKB958215$\spuninst\spuninst.exe"
Security Update for Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Security Update for Windows XP (KB960714)-->"C:\WINDOWS\$NtUninstallKB960714$\spuninst\spuninst.exe"
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
UnternehmensCONTROLLER StartUp-->C:\PROGRA~1\UNTERN~1\UNWISE.EXE C:\PROGRA~1\UNTERN~1\INSTALL.LOG
Update for Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Update for Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
Update for Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
VIA Platform Device Manager-->C:\PROGRA~1\COMMON~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
VideoLAN VLC media player 0.8.6d-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR-->C:\Program Files\WinRAR\uninstall.exe

======Hosts File======

127.0.0.1 w*w.007guard.com
127.0.0.1 007guard.c*m
127.0.0.1 008i.c*m
127.0.0.1 w*w.008k.com
127.0.0.1 008k.c*m
127.0.0.1 w*w.00hq.com
127.0.0.1 00hq.c*m
127.0.0.1 010402.c*m
127.0.0.1 w*w.032439.com
127.0.0.1 032439.com

======Security center information======

AV: Avira AntiVir PersonalEdition

======System event log======

Computer Name: *****
Event Code: 10010
Message: The server {73E709EA-5D93-4B2E-BBB0-99B7938DA9E4} did not register with DCOM within the required timeout.

Record Number: 179
Source Name: DCOM
Time Written: 20100106175640.000000+060
Event Type: error
User: NT AUTHORITY\NETWORK SERVICE

Computer Name: *****
Event Code: 7000
Message: The HTTP SSL service failed to start due to the following error:
The service did not respond to the start or control request in a timely fashion.

Record Number: 170
Source Name: Service Control Manager
Time Written: 20100106171757.000000+060
Event Type: error
User:

Computer Name: *****
Event Code: 7009
Message: Timeout (30000 milliseconds) waiting for the HTTP SSL service to connect.

Record Number: 169
Source Name: Service Control Manager
Time Written: 20100106171757.000000+060
Event Type: error
User:

Computer Name: *****
Event Code: 10005
Message: DCOM got error "%1058" attempting to start the service wuauserv with arguments ""
in order to run the server:
{E60687F7-01A1-40AA-86AC-DB1CBF673334}

Record Number: 79
Source Name: DCOM
Time Written: 20100105180005.000000+060
Event Type: error
User: *****/*****

Computer Name: *****
Event Code: 4226
Message: TCP/IP has reached the security limit imposed on the number of concurrent TCP connect attempts.

Record Number: 19
Source Name: Tcpip
Time Written: 20100105153344.000000+060
Event Type: warning
User:

=====Application event log=====

Computer Name: *****
Event Code: 1517
Message: Windows saved user *****/***** registry while an application or service was still using the registry during log off. The memory used by the user's registry has not been freed. The registry will be unloaded when it is no longer in use.

This is often caused by services running as a user account, try configuring the services to run in either the LocalService or NetworkService account.

Record Number: 519
Source Name: Userenv
Time Written: 20070714025023.000000+120
Event Type: warning
User: NT AUTHORITY\SYSTEM

Computer Name: *****
Event Code: 1517
Message: Windows saved user *****/***** registry while an application or service was still using the registry during log off. The memory used by the user's registry has not been freed. The registry will be unloaded when it is no longer in use.

This is often caused by services running as a user account, try configuring the services to run in either the LocalService or NetworkService account.

Record Number: 493
Source Name: Userenv
Time Written: 20070708011553.000000+120
Event Type: warning
User: NT AUTHORITY\SYSTEM

Computer Name: *****
Event Code: 1517
Message: Windows saved user *****/***** registry while an application or service was still using the registry during log off. The memory used by the user's registry has not been freed. The registry will be unloaded when it is no longer in use.

This is often caused by services running as a user account, try configuring the services to run in either the LocalService or NetworkService account.

Record Number: 489
Source Name: Userenv
Time Written: 20070707045702.000000+120
Event Type: warning
User: NT AUTHORITY\SYSTEM

Computer Name: ****
Event Code: 1517
Message: Windows saved user ****/**** registry while an application or service was still using the registry during log off. The memory used by the user's registry has not been freed. The registry will be unloaded when it is no longer in use.

This is often caused by services running as a user account, try configuring the services to run in either the LocalService or NetworkService account.

Record Number: 485
Source Name: Userenv
Time Written: 20070706195217.000000+120
Event Type: warning
User: NT AUTHORITY\SYSTEM

Computer Name: ****
Event Code: 1517
Message: Windows saved user ****/**** registry while an application or service was still using the registry during log off. The memory used by the user's registry has not been freed. The registry will be unloaded when it is no longer in use.

This is often caused by services running as a user account, try configuring the services to run in either the LocalService or NetworkService account.

Record Number: 473
Source Name: Userenv
Time Written: 20070701232149.000000+120
Event Type: warning
User: NT AUTHORITY\SYSTEM

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 4 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0409
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_05\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_05\lib\ext\QTJava.zip

-----------------EOF-----------------

RSIT log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by **** at 2010-01-06 19:15:56
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 206 GB (86%) free of 238 GB
Total RAM: 2046 MB (76% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:16:04, on 06/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Documents and Settings\****\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\****.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {ACF2E636-2235-46AD-A1F3-2AFEA00E27FB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: vostkw.dll
O20 - Winlogon Notify: pmnmkKcc - pmnmkKcc.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 4961 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
Java(tm) Plug-In SSV Helper - C:\Program Files\Java\jre6\bin\ssv.dll [2008-12-28 320920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ACF2E636-2235-46AD-A1F3-2AFEA00E27FB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2008-12-28 34816]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2006-01-11 577536]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"iTunesHelper"=C:\Program Files\iTunes\iTunesHelper.exe [2007-06-01 257088]
"SunJavaUpdateSched"=C:\Program Files\Java\jre6\bin\jusched.exe [2008-12-28 136600]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"QuickTime Task"=C:\Program Files\QuickTime\QTTask.exe [2008-05-27 413696]
"avgnt"=C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-06-12 266497]
"VTTrayp"=VTtrayp.exe []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-14 1695232]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-01-26 2144088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"="vostkw.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2006-10-12 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pmnmkKcc]
pmnmkKcc.dll []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
C:\WINDOWS\system32\ddcAsrQH

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\ICQLite\ICQLite.exe"="C:\Program Files\ICQLite\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"="C:\Program Files\BearShare Applications\BearShare\BearShare.exe:*:Disabled:BearShare"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\iMesh Applications\iMesh\iMesh.exe"="C:\Program Files\iMesh Applications\iMesh\iMesh.exe:*:Disabled:iMesh"
"C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Program Files\ICQ6\ICQ.exe"="C:\Program Files\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Sierra\FEAR\FEAR.exe"="C:\Program Files\Sierra\FEAR\FEAR.exe:*:Enabled:FEAR"
"C:\Program Files\Sierra\FEAR\FEARMP.exe"="C:\Program Files\Sierra\FEAR\FEARMP.exe:*:Enabled:FEARMP"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2010-01-06 19:15:56 ----D---- C:\rsit
2010-01-06 18:10:58 ----D---- C:\Documents and Settings\****\Application Data\Malwarebytes
2010-01-06 18:10:17 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-01-06 18:10:17 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2010-01-06 17:54:27 ----D---- C:\Program Files\Trend Micro
2010-01-06 00:54:27 ----D---- C:\Program Files\Sierra
2010-01-05 15:23:58 ----D---- C:\Program Files\CCleaner

======List of files/folders modified in the last 1 months======

2010-01-06 19:04:43 ----D---- C:\Program Files\Mozilla Firefox
2010-01-06 19:02:57 ----D---- C:\WINDOWS\Temp
2010-01-06 19:02:56 ----D---- C:\WINDOWS
2010-01-06 19:02:05 ----D---- C:\WINDOWS\system32\drivers
2010-01-06 19:02:05 ----D---- C:\WINDOWS\system32
2010-01-06 19:01:39 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-01-06 19:01:21 ----D---- C:\WINDOWS\Provisioning
2010-01-06 19:00:48 ----D---- C:\WINDOWS\Prefetch
2010-01-06 18:22:30 ----A---- C:\WINDOWS\wininit.ini
2010-01-06 18:22:26 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-06 18:10:17 ----RD---- C:\Program Files
2010-01-06 17:19:55 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-01-06 17:16:42 ----D---- C:\WINDOWS\system32\CatRoot2
2010-01-06 01:56:04 ----A---- C:\WINDOWS\NeroDigital.ini
2010-01-06 00:59:00 ----D---- C:\WINDOWS\system32\DirectX
2010-01-06 00:54:54 ----HD---- C:\Program Files\InstallShield Installation Information
2010-01-06 00:42:42 ----D---- C:\Program Files\S3
2010-01-05 18:02:07 ----SHD---- C:\WINDOWS\Installer
2010-01-05 18:01:25 ----D---- C:\WINDOWS\Help
2010-01-05 16:12:12 ----SD---- C:\WINDOWS\Tasks
2010-01-05 15:42:14 ----D---- C:\Program Files\Spybot - Search & Destroy
2010-01-05 15:25:28 ----D---- C:\Documents and Settings\****\Application Data\Azureus
2010-01-05 15:24:40 ----D---- C:\WINDOWS\Debug
2010-01-05 15:24:39 ----D---- C:\WINDOWS\Minidump
2010-01-05 15:08:01 ----D---- C:\Documents and Settings

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2010-01-06 75096]
R1 intelppm;Intel Processor Driver; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-13 36352]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2007-11-08 21248]
R1 Tcpip6;Microsoft IPv6 Protocol Driver; C:\WINDOWS\system32\DRIVERS\tcpip6.sys [2008-06-20 225856]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS Compatible Transport Protocol; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2008-04-13 88320]
R2 NwlnkNb;NWLink NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2004-08-04 63232]
R2 NwlnkSpx;NWLink SPX/SPXII Protocol; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2004-08-04 55936]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2006-02-17 3846848]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2006-10-12 1777152]
R3 avgntflt;avgntflt; \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys []
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664]
R3 HidUsb;Microsoft HID Class Driver; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 mouhid;Mouse HID Driver; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-17 12160]
R3 RTL8023xp;Realtek 10/100/1000 NIC Family all in one NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2006-02-26 81408]
R3 tunmp;Microsoft Tun Miniport Adapter Driver; C:\WINDOWS\system32\DRIVERS\tunmp.sys [2008-04-13 12288]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2 Enabled Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 USBSTOR;USB Mass Storage Driver; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-13 20608]
S3 A_USBETHMP;USB PowerPacket Network Adapter; C:\WINDOWS\System32\Drivers\usbethmp.sys [2003-07-14 14342]
S3 nm;Network Monitor Driver; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2008-04-13 40320]
S3 QV2KUX;Casio Digital Camera; C:\WINDOWS\system32\DRIVERS\qv2kux.sys [2001-08-17 3328]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 viagfx;viagfx; C:\WINDOWS\system32\DRIVERS\vtmini.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 6to4;IPv6 Helper Service; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 AntiVirScheduler;Avira AntiVir Personal - Free Antivirus Planer; C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe [2008-10-15 68865]
R2 AntiVirService;Avira AntiVir Personal - Free Antivirus Guard; C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe [2008-10-15 151297]
R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2006-10-12 430080]
R2 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2008-12-28 152984]
R2 NwSapAgent;SAP Agent; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R3 iPod Service;iPod Service; C:\Program Files\iPod\bin\iPodService.exe [2007-06-01 501312]
S2 ATI Smart;ATI Smart; C:\WINDOWS\system32\ati2sgag.exe [2006-10-11 520192]

-----------------EOF-----------------

Malwarebytes-Anti-Malware:

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3502
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

06/01/2010 19:00:58
mbam-log-2010-01-06 (19-00-58).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 152745
Laufzeit: 47 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\vostkw.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9e4d9a48-99d2-44b2-ba46-7c242954c985} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9e4d9a48-99d2-44b2-ba46-7c242954c985} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9e4d9a48-99d2-44b2-ba46-7c242954c985} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\vostkw.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Documents and Settings\****\Desktop\reconnect\nc.exe (PUP.KeyLogger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F08789DF-0103-4D39-A824-77AA53A0DB58}\RP231\A0046874.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F08789DF-0103-4D39-A824-77AA53A0DB58}\RP231\A0046880.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ddcAsrQH.VIR (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\seneka.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekadf.dat (Trojan.Agent) -> Quarantined and deleted successfully.

HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:32:17, on 06/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {ACF2E636-2235-46AD-A1F3-2AFEA00E27FB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: vostkw.dll
O20 - Winlogon Notify: pmnmkKcc - pmnmkKcc.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 4964 bytes

Antivir:
Ich habe soeben bei Antivir nochmal eine komplette Systempruefung durchlaufen lassen mit folgendem Ergebnis:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: 06 January 2010 19:47

Es wird nach 1501318 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir Personal - FREE Antivirus
Seriennummer: 0000149996-ADJIE-0000001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: *****

Versionsinformationen:
BUILD.DAT : 8.2.0.354 17048 Bytes 23/10/2009 13:15:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09/05/2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09/05/2008 11:40:42
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 13:52:26
ANTIVIR1.VDF : 7.10.1.11 1395568 Bytes 19/11/2009 13:52:29
ANTIVIR2.VDF : 7.10.2.103 1570208 Bytes 29/12/2009 13:52:32
ANTIVIR3.VDF : 7.10.2.126 197120 Bytes 05/01/2010 13:52:32
Engineversion : 8.2.1.130
AEVDF.DLL : 8.1.1.2 106867 Bytes 06/01/2010 13:52:44
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 06/01/2010 13:52:43
AESCN.DLL : 8.1.3.0 127348 Bytes 06/01/2010 13:52:42
AESBX.DLL : 8.1.1.1 246132 Bytes 06/01/2010 13:52:41
AERDL.DLL : 8.1.3.4 479605 Bytes 06/01/2010 13:52:41
AEPACK.DLL : 8.2.0.4 422263 Bytes 06/01/2010 13:52:40
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 06/01/2010 13:52:38
AEHEUR.DLL : 8.1.0.192 2195833 Bytes 06/01/2010 13:52:37
AEHELP.DLL : 8.1.9.0 237943 Bytes 06/01/2010 13:52:35
AEGEN.DLL : 8.1.1.83 369014 Bytes 06/01/2010 13:52:34
AEEMU.DLL : 8.1.1.0 393587 Bytes 06/01/2010 13:52:34
AECORE.DLL : 8.1.9.1 180598 Bytes 06/01/2010 13:52:33
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 06/01/2010 13:52:33
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: 06 January 2010 19:47

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QTTask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '32' Prozesse mit '32' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: The device is not ready.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Program Files\registryboosterfull\Uniblue_Registry_Booster_v2.0.1114.3657\Crack\UBVarRB.dll
[FUND] Ist das Trojanische Pferd TR/Agent.ANMJ
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F08789DF-0103-4D39-A824-77AA53A0DB58}\RP231\A0046875.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F08789DF-0103-4D39-A824-77AA53A0DB58}\RP231\A0046953.dll
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F08789DF-0103-4D39-A824-77AA53A0DB58}\RP231\A0046989.dll
[FUND] Ist das Trojanische Pferd TR/Agent.ANMJ
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\igcnmnf.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\07GA8G1B\11.01UP[1].exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\3YN36SBW\01U[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.nnx
[HINWEIS] Die Datei wurde gelöscht.

Ende des Suchlaufs: 06 January 2010 20:03
Benötigte Zeit: 15:57 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4043 Verzeichnisse wurden überprüft
163778 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
7 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
163770 Dateien ohne Befall
859 Archive wurden durchsucht
5 Warnungen
7 Hinweise

kira · 07.01.2010, 02:51

Hallo und Herzlich Willkommen!

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

Afrodisiaka · 07.01.2010, 18:15

Hey Coverflow,
erstmal danke fuer deine hilfe!

Hab jetzt alle Schritte nacheinander gemacht und folgende Ergebnisse sind dabei rausgekommen. Allerdings ist das Log bei GMER nur sehr kurz, weiss leider nicht ob es richtig ist. Habe es mehrmals gemacht und es kam jedes mal das gleiche heraus. Internetzugaenge habe ich abgeschaltet und Antivir sowie Firewalls fuer den Zeitraum des Scans deaktiviert. Natuerlich habe ich auch alle Programme geschlossen und nichts am Pc gemacht solange der Scan lief.

Installierte Programme:

Adobe Flash Player 10 Plugin Adobe Systems Incorporated 10.0.12.36
Adobe Flash Player 9 ActiveX Adobe Systems 9
Adobe Reader 8.1.2 Adobe Systems Incorporated 8.1.2
Apple Software Update Apple Inc. 2.1.0.110
ATI Display Driver 8.31-061011a-038857C-ATI
Avira AntiVir Personal - Free Antivirus Avira GmbH
CCleaner Piriform 2.27
FEAR Vivendi Universal Games, Inc. 1.00.0000
HijackThis 2.0.2 TrendMicro 2.0.2
ICQ6 ICQ 6.00.0000
iTunes Apple Inc. 7.2.0.35
Java(TM) 6 Update 11 Sun Microsystems, Inc. 6.0.110
Java(TM) 6 Update 3 Sun Microsystems, Inc. 1.6.0.30
Java(TM) 6 Update 5 Sun Microsystems, Inc. 1.6.0.50
Java(TM) 6 Update 7 Sun Microsystems, Inc. 1.6.0.70
Malwarebytes' Anti-Malware Malwarebytes Corporation
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 8.0.56336
Mozilla Firefox (3.0.5) Mozilla 3.0.5 (en-GB)
Nero Suite
Oblivion Bethesda Softworks 1.00.0000
OpenOffice.org Installer 1.0 Sun Microsystems 1.0.9221
QuickTime Apple Inc. 7.50.61.0
Realtek AC'97 Audio Realtek Semiconductor Corp. 5.19
REALTEK GbE & FE Ethernet PCI NIC Driver Realtek 1.02.0000
Spybot - Search & Destroy Safer Networking Limited 1.6.2
UnternehmensCONTROLLER StartUp Software für Unternehmensplanung, Geschäftsplan, Business-Plan, Finanzplan, Controlling, Bewertung von Unternehmen, Investitionen und Projekten - ecomplan GmbH 9.04
VIA Platform Device Manager VIA Technologies, Inc. 1.13
VideoLAN VLC media player 0.8.6d VideoLAN Team 0.8.6d
Windows XP Service Pack 3 Microsoft Corporation 20080414.031525
WinRAR

Logfile von Filelist:

----- Root -----------------------------
Volume in drive C has no label.
Volume Serial Number is C446-22EC

Directory of C:\

07/01/2010 15:02 43 filelist.txt
07/01/2010 14:52 2,145,386,496 pagefile.sys

9 File(s) 2,145,684,362 bytes
0 Dir(s) 215,448,621,056 bytes free

----- Windows --------------------------
Volume in drive C has no label.
Volume Serial Number is C446-22EC

Directory of C:\WINDOWS

07/01/2010 14:56 410,636 WindowsUpdate.log
07/01/2010 14:53 0 0.log
07/01/2010 14:52 2,048 bootstat.dat
07/01/2010 01:56 32,544 SchedLgU.Txt
06/01/2010 19:53 6,760 KB959426.log
06/01/2010 19:53 6,679 KB960859.log
06/01/2010 19:53 6,594 KB974318.log
06/01/2010 19:53 6,510 KB969059.log
06/01/2010 19:53 6,497 KB961371-v2.log
06/01/2010 19:53 6,347 KB971657.log
06/01/2010 19:53 6,258 KB971557.log
06/01/2010 19:53 6,178 KB960225.log
06/01/2010 19:53 6,097 KB974112.log
06/01/2010 19:53 6,014 KB961501.log
06/01/2010 19:53 5,939 KB971633.log
06/01/2010 19:53 5,846 KB975025.log
06/01/2010 19:53 5,761 KB974571.log
06/01/2010 19:53 5,692 KB952004.log
06/01/2010 19:53 5,990 KB976325.log
06/01/2010 19:52 5,512 KB973507.log
06/01/2010 19:52 5,439 KB967715.log
06/01/2010 19:52 5,350 KB974392.log
06/01/2010 19:52 5,268 KB970238.log
06/01/2010 19:52 5,182 KB960803.log
06/01/2010 19:52 5,101 KB973815.log
06/01/2010 19:52 5,016 KB975467.log
06/01/2010 19:52 4,944 KB968389.log
06/01/2010 19:51 4,877 KB969947.log
06/01/2010 19:46 982 setupapi.log
06/01/2010 18:22 164 wininit.ini
06/01/2010 01:56 116 NeroDigital.ini

87 File(s) 7,818,282 bytes
0 Dir(s) 215,448,612,864 bytes free

----- System ---
Volume in drive C has no label.
Volume Serial Number is C446-22EC

Directory of C:\WINDOWS\system

25 File(s) 925,851 bytes
0 Dir(s) 215,448,612,864 bytes free

----- System 32 (Achtung: Zeitfenster beachten!) ---
Volume in drive C has no label.
Volume Serial Number is C446-22EC

Directory of C:\WINDOWS\system32

05/01/2010 14:49 1,374 wpa.dbl
06/08/2009 19:24 21,728 wucltui.dll.mui
06/08/2009 19:24 327,896 wucltui.dll
06/08/2009 19:24 15,072 wuaucpl.cpl.mui
06/08/2009 19:24 44,768 wups2.dll
06/08/2009 19:24 217,816 wuaucpl.cpl
06/08/2009 19:24 15,064 wuapi.dll.mui
06/08/2009 19:24 53,472 wuauclt.exe
06/08/2009 19:24 96,480 cdm.dll
06/08/2009 19:24 17,632 wuaueng.dll.mui
06/08/2009 19:23 575,704 wuapi.dll
06/08/2009 19:23 1,929,952 wuaueng.dll
06/08/2009 19:23 209,624 wuweb.dll

1900 File(s) 420,307,451 bytes
0 Dir(s) 215,448,424,448 bytes free

----- Prefetch -------------------------
Volume in drive C has no label.
Volume Serial Number is C446-22EC

Directory of C:\WINDOWS\Prefetch

07/01/2010 15:02 10,864 FIND.EXE-0EC32F1E.pf
07/01/2010 15:02 12,824 CMD.EXE-087B4001.pf
07/01/2010 15:01 30,042 AVWSC.EXE-347FCF75.pf
07/01/2010 15:01 25,762 WINRAR.EXE-39C6DAD9.pf
07/01/2010 15:00 15,418 VERCLSID.EXE-3667BD89.pf
07/01/2010 14:59 36,226 JRE-6U17-WINDOWS-I586-IFTW-RV-1C3AAE54.pf
07/01/2010 14:58 36,938 JUCHECK.EXE-395165C8.pf
07/01/2010 14:58 11,118 JAVA.EXE-0C263507.pf
07/01/2010 14:55 25,310 WUAUCLT.EXE-399A8E72.pf
07/01/2010 14:55 56,476 AVNOTIFY.EXE-32FAE179.pf
07/01/2010 14:55 57,376 UPDATE.EXE-264167D5.pf
07/01/2010 14:55 15,222 PREUPD.EXE-0C5BC219.pf
07/01/2010 14:54 17,826 REGSVR32.EXE-25EEFE2F.pf
07/01/2010 14:54 57,176 WMIPRVSE.EXE-28F301A9.pf
07/01/2010 14:54 1,136,400 NTOSBOOT-B00DFAAD.pf
07/01/2010 14:54 12,732 JQSNOTIFY.EXE-24AE4A36.pf
07/01/2010 00:08 41,706 FEAR.EXE-1D71D9F0.pf
07/01/2010 00:05 22,464 LOGONUI.EXE-0AF22957.pf
06/01/2010 23:47 586,340 Layout.ini
06/01/2010 23:12 6,856 LOGON.SCR-151EFAEA.pf
06/01/2010 23:00 98,778 FIREFOX.EXE-28641590.pf
06/01/2010 23:00 18,260 IMAPI.EXE-0BF740A4.pf
06/01/2010 20:09 52,400 AVSCAN.EXE-181AB66D.pf
06/01/2010 20:03 41,062 NOTEPAD.EXE-336351A9.pf
06/01/2010 19:53 96,416 UPDATE.EXE-20195DC1.pf
06/01/2010 19:53 96,858 UPDATE.EXE-13759F73.pf
06/01/2010 19:53 94,044 UPDATE.EXE-0337138B.pf
06/01/2010 19:53 91,136 UPDATE.EXE-24942353.pf
06/01/2010 19:53 98,490 UPDATE.EXE-20431838.pf
06/01/2010 19:53 97,886 UPDATE.EXE-1D5108ED.pf
06/01/2010 19:53 96,388 UPDATE.EXE-17F3846C.pf
06/01/2010 19:53 102,466 UPDATE.EXE-2F9A6C71.pf
06/01/2010 19:53 99,744 UPDATE.EXE-3337839D.pf
06/01/2010 19:53 99,870 UPDATE.EXE-033D0085.pf
06/01/2010 19:53 101,388 UPDATE.EXE-0FE13FF1.pf
06/01/2010 19:53 94,442 UPDATE.EXE-275F0A94.pf
06/01/2010 19:53 94,724 UPDATE.EXE-2B72BD4F.pf
06/01/2010 19:53 92,002 UPDATE.EXE-07F57BFD.pf
06/01/2010 19:52 100,964 UPDATE.EXE-3AD24A26.pf
06/01/2010 19:52 101,416 UPDATE.EXE-14A94CB2.pf
06/01/2010 19:52 91,128 UPDATE.EXE-0A38897B.pf
06/01/2010 19:52 102,138 UPDATE.EXE-139F342B.pf
06/01/2010 19:52 101,938 UPDATE.EXE-00D48DA0.pf
06/01/2010 19:52 98,046 UPDATE.EXE-1C73DC1B.pf
06/01/2010 19:52 92,994 UPDATE.EXE-2FF785CD.pf
06/01/2010 19:52 97,966 UPDATE.EXE-0813C62F.pf
06/01/2010 19:52 96,242 UPDATE.EXE-12845DCB.pf
06/01/2010 19:51 94,930 UPDATE.EXE-1DF9644E.pf
06/01/2010 19:46 42,638 AVCENTER.EXE-058B10AA.pf
06/01/2010 19:45 7,812 WSCNTFY.EXE-1B24F5EB.pf
06/01/2010 19:45 81,542 IEXPLORE.EXE-27122324.pf
06/01/2010 19:45 31,546 WUPDMGR.EXE-2F30BEAB.pf
06/01/2010 19:32 19,030 HIJACKTHIS.EXE-34A0FC79.pf
06/01/2010 19:30 56,790 MBAM.EXE-0BEE0439.pf
06/01/2010 19:16 27,996 ****.EXE-0CDE9A41.pf
06/01/2010 19:16 16,846 RSIT.EXE-1F33D3A4.pf
06/01/2010 19:01 17,196 GUARDGUI.EXE-2C20A958.pf
06/01/2010 19:00 14,126 REGEDIT.EXE-1B606482.pf
06/01/2010 18:54 126,958 TASKMGR.EXE-20256C55.pf
06/01/2010 18:10 6,618 MBAMGUI.EXE-1286D63B.pf
06/01/2010 18:10 13,594 MBAM-SETUP.TMP-2FACC775.pf
06/01/2010 18:10 6,902 MBAM-SETUP.EXE-33BB79A6.pf
06/01/2010 18:04 6,816 CCLEANER.EXE-0BCE437C.pf
06/01/2010 18:02 8,030 CCSETUP227_SLIM.EXE-2E0FA8F2.pf
06/01/2010 17:55 9,008 TASKMAN.EXE-286CBC75.pf
06/01/2010 17:54 7,298 HJTINSTALL202.EXE-18BF398D.pf
06/01/2010 17:48 52,780 DUMPREP.EXE-1B46F901.pf
06/01/2010 17:48 17,496 DRWTSN32.EXE-2B4B52AC.pf
06/01/2010 17:48 23,286 DWWIN.EXE-30875ADC.pf
06/01/2010 17:48 12,864 IEDW.EXE-1880380E.pf
06/01/2010 17:29 12,856 INSTALLCYBERDEFENDEREDC-02232-3A9B0DB0.pf
06/01/2010 17:24 99,564 EXPLORER.EXE-082F38A9.pf
06/01/2010 17:17 27,418 SVCHOST.EXE-3530F672.pf
06/01/2010 17:17 10,470 SPYBOTSD.EXE-1344276B.pf
06/01/2010 14:53 49,894 AVGNT.EXE-11EBE658.pf
06/01/2010 01:00 36,500 RUNDLL32.EXE-2576181F.pf
06/01/2010 01:00 38,994 CONFIG.EXE-0035B919.pf
06/01/2010 00:58 10,676 DXDLLREG.EXE-2FE8DDCB.pf
06/01/2010 00:58 21,842 DXSETUP.EXE-057C6E06.pf
06/01/2010 00:47 27,734 RUNDLL32.EXE-147710F4.pf
06/01/2010 00:47 24,470 SETE.TMP-39F8DE1E.pf
06/01/2010 00:47 12,824 SETUP.EXE-393E66AE.pf
06/01/2010 00:47 42,684 AUTORUN.EXE-055703AF.pf
06/01/2010 00:46 15,494 RUNDLL32.EXE-451FC2C0.pf
05/01/2010 18:40 75,736 DFRGNTFS.EXE-269967DF.pf
05/01/2010 18:40 17,332 DEFRAG.EXE-273F131E.pf
05/01/2010 18:13 92,138 VLC.EXE-22DF01AA.pf
05/01/2010 18:11 47,022 WMPLAYER.EXE-18DDEFA2.pf
05/01/2010 18:09 60,722 WMPLAYER.EXE-18DDEFA5.pf
05/01/2010 18:02 44,980 MSIEXEC.EXE-2F8A8CAE.pf
05/01/2010 18:00 62,054 RUNDLL32.EXE-2CD85FD3.pf

105 File(s) 7,135,916 bytes
0 Dir(s) 215,448,514,560 bytes free

----- Tasks ----------------------------
Volume in drive C has no label.
Volume Serial Number is C446-22EC

Directory of C:\WINDOWS\tasks

07/01/2010 14:52 6 SA.DAT

3 File(s) 355 bytes
0 Dir(s) 215,448,510,464 bytes free

----- Windows/Temp -----------------------
Volume in drive C has no label.
Volume Serial Number is C446-22EC

Directory of C:\WINDOWS\Temp

07/01/2010 14:53 16,384 Perflib_Perfdata_1b4.dat
06/01/2010 19:16 108 teredo.txt
2 File(s) 16,492 bytes
0 Dir(s) 215,448,510,464 bytes free

----- Temp -----------------------------
Volume in drive C has no label.
Volume Serial Number is C446-22EC

Directory of C:\DOCUME~1\****\LOCALS~1\Temp

07/01/2010 14:59 20,118 jusched.log
07/01/2010 14:59 917 jinstall.cfg
07/01/2010 14:58 8,966 au-descriptor-1.6.0_17-b80.xml
07/01/2010 14:54 0 etilqs_20v1uFZTmivA2NOlDygf
07/01/2010 00:08 221,184 Cli3.tmp
07/01/2010 00:08 13,592 temp.ani
06/01/2010 18:51 0 ie24.tmp
06/01/2010 18:35 0 ie22.tmp
06/01/2010 18:19 0 ie1F.tmp
06/01/2010 18:04 0 ie1D.tmp
06/01/2010 17:48 0 ie17.tmp
06/01/2010 17:48 0 1D7AC0.dmp
06/01/2010 17:32 0 ie15.tmp
06/01/2010 17:29 16,384 ~DF43D9.tmp
06/01/2010 17:16 0 ie11.tmp
06/01/2010 17:16 2,799 inA.tmp
06/01/2010 14:42 0 ie3A.tmp
06/01/2010 14:26 0 ie37.tmp
06/01/2010 14:11 0 ie34.tmp
06/01/2010 13:55 0 ie32.tmp
06/01/2010 13:39 0 ie30.tmp
06/01/2010 13:23 0 ie2E.tmp
06/01/2010 13:08 0 ie2C.tmp
06/01/2010 12:53 221,184 Cli11.tmp
06/01/2010 12:52 0 ieF.tmp
06/01/2010 12:52 2,799 in9.tmp
06/01/2010 01:47 0 ie56.tmp
06/01/2010 01:31 0 ie54.tmp
06/01/2010 01:15 0 ie52.tmp
06/01/2010 01:01 221,184 Cli24.tmp
06/01/2010 01:00 341 _isdelet.ini
06/01/2010 00:59 0 ie21.tmp
06/01/2010 00:44 0 ieD.tmp
06/01/2010 00:44 2,799 in8.tmp
05/01/2010 18:44 0 ie36.tmp
05/01/2010 18:29 0 ie33.tmp
05/01/2010 18:13 0 ie31.tmp
05/01/2010 17:57 2,799 in4.tmp
05/01/2010 16:26 2,799 in3.tmp
05/01/2010 15:42 2,799 in2.tmp
05/01/2010 15:28 2,799 in1.tmp
05/01/2010 15:19 2,799 in7.tmp
05/01/2010 14:56 2,799 in6.tmp
05/01/2010 14:49 2,799 in5.tmp
12/12/2009 04:45 792,352 jre-6u17-windows-i586-iftw-rv.exe

49 File(s) 2,445,516 bytes
0 Dir(s) 215,448,510,464 bytes free

Gmer log:

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit scan 2010-01-07 17:53:49
Windows 5.1.2600 Service Pack 3
Running: 5k3q97m7.exe; Driver: C:\DOCUME~1\****\LOCALS~1\Temp\fwtdypog.sys

---- System - GMER 1.0.15 ----

SSDT BA78380C ZwCreateThread
SSDT BA7837F8 ZwOpenProcess
SSDT BA7837FD ZwOpenThread
SSDT BA783807 ZwTerminateProcess
SSDT BA783802 ZwWriteVirtualMemory

---- EOF - GMER 1.0.15 ----

kira · 09.01.2010, 11:03

hi

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code:

ATTFilter

O2 - BHO: (no name) - {ACF2E636-2235-46AD-A1F3-2AFEA00E27FB} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O20 - AppInit_DLLs: vostkw.dll
O20 - Winlogon Notify: pmnmkKcc - pmnmkKcc.dll (file missing)

2.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar.
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!

`Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
`Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
für jedes Benutzerkonto bitte durchführen
anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:

"Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

5.

lade Dir SUPERAntiSpyware FREE Edition herunter.
installiere das Programm und update online.
starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

6.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 17 schon fällig!)
danach deinstalliere die alte Eintragungen falls sie noch vorhanden
`Systemsteuerung → Software → Ändern/Entfernen...`

- um die neueste Version von Adobe zu erhalten klick hier: Adobe Reader

7.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

Afrodisiaka · 11.01.2010, 21:46

HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:32:18, on 11/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {ACF2E636-2235-46AD-A1F3-2AFEA00E27FB} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1262803511921
O20 - Winlogon Notify: pmnmkKcc - C:\WINDOWS\
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--
End of file - 4270 bytes

Super Anti Spyware

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 01/11/2010 at 04:10 PM

Application Version : 4.33.1000

Core Rules Database Version : 4464
Trace Rules Database Version: 2284

Scan type : Complete Scan
Total Scan Time : 00:15:57

Memory items scanned : 432
Memory threats detected : 0
Registry items scanned : 3776
Registry threats detected : 6
File items scanned : 16105
File threats detected : 1

Rogue.Component/Trace
HKLM\Software\Microsoft\C44630CD
HKLM\Software\Microsoft\C44630CD#c44630cd
HKLM\Software\Microsoft\C44630CD#Version
HKLM\Software\Microsoft\C44630CD#c4469d4d
HKLM\Software\Microsoft\C44630CD#c446f4a8
HKU\S-1-5-21-942007678-784276602-1909061530-1005\Software\Microsoft\FIAS4018

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F08789DF-0103-4D39-A824-77AA53A0DB58}\RP231\A0046956.EXE

Kaspersky:

Monday, January 11, 2010
Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Monday, January 11, 2010 15:12:17
Records in database: 3298535
Scan settings
scan using the following database extended
Scan archives yes
Scan e-mail databases yes
Scan area My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
Scan statistics
Objects scanned 41564
Threats found 0
Infected objects found 0
Suspicious objects found 0
Scan duration 02:08:55

No threats found. Scanned area is clean.
Selected area has been scanned.

kira · 12.01.2010, 23:37

hi

1.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code:

ATTFilter

O2 - BHO: (no name) - {ACF2E636-2235-46AD-A1F3-2AFEA00E27FB} - (no file)
O20 - Winlogon Notify: pmnmkKcc - C:\WINDOWS\

2.
wenn alles gut verlaufen ist und dein System läuft stabil,mache folgendes:
** Rechten Maustaste auf den "Arbeitsplatz"→ auf "Eigenschaften"→ Registerkarte "Systemwiederherstellung"→ "Systemwiederherstellung deaktivieren"→ auf "OK"→ alles schließen→ Rechner neu starten→die Standardeinstellung wiederherzustellen(SWH wieder"aktivieren")

3.
- eventuell kannst Du noch dein Sytem mit mindestens 3 Onlinescanner prüfen/reinigen:
- Vor dem Scan Einstellungen im Internet Explorer: Extras → Internetoptionen → Sicherheit → Stufe anpassen: alles auf Standardstufe stellen
- Active X erlauben
- Nicht gleichzeitig scannen! Nach jedem Scanvorgang starte dein System neu auf
- speichere und poste das Logfile des Scans - die Ergebnisse als*.txt Datei speichern

Code:

ATTFilter

bitdefender
emsisoft
ESET Online Scanner 
emsisoft

TR/VUNDO.GEN in Windows 32 .dll dateien

Plagegeister aller Art und deren Bekämpfung: TR/VUNDO.GEN in Windows 32 .dll dateien