TR/Vundo.Gen - löschen nicht möglich

#1 hallo!
ich bekomme seit ~3tagen immer von AntiVir die meldung das ein so gennanter Trojaner TR/Vundo.Gen gefunden wurde; in der datei C:\WINDOWS\system32\awvtu.dll
löschen kann AntiVir das nicht und mit VundoFix geht er auch nicht weg!
Hab zuerst schonmal probiert die Datei manuell im abgesicherten Modus zu löschen, ging nicht
hab jetzt schon ca. 2h gegoogelt und alles, auch gesehen das ich solche logs erstellen soll, nur leider kann ich nach der Benutzeranmeldung nichts machen. keine Programme ausführen und nicht mal den PC ausschalten...
hab schon in den anderen Threads zB. das Programm "Avenger" gesehen, nur weiß ich da nicht was ich reinkopieren soll bzw. gelöscht werden soll

bitte helft mir, ich hab absolut keine Ahnung was ich machen soll
würde doch gerne mein System nicht neu aufsetzen...
MFG Spitfire

€dit: mittlerweile kann ich normal den PC starten, virus ist jedoch immernoch da
Bitte helft mir

#2 poste diese logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 so tut mir leid, hatte nicht viel zeit
hier der HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 11:23:26, on 16.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Robert\Eigene Dateien\HiJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.surviveordie.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O15 - Trusted Zone: http://locator1.cdn.imagesrvr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


_____________________________________________________________________
hier der von combofix:

Robert - 06-09-16 11:44:15,60 Service Pack 2
ComboFix 06.09.14 - Running from: C:\Dokumente und Einstellungen\Robert\Desktop

((((((((((((((((((((((((((((((( Files Created from 2006-08-16 to 2006-09-16 ))))))))))))))))))))))))))))))))))


2006-09-07 11:00 1,212,400 ---hs---- C:\WINDOWS\system32\utvwa.bak2


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-16 11:43 -------- d-------- C:\Programme\Mozilla Firefox
2006-09-16 11:40 -------- d-------- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Xfire
2006-09-16 11:31 -------- d-------- C:\Programme\CleanUp!
2006-09-14 19:25 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-09-14 17:57 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-14 16:47 -------- d-------- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Hamachi
2006-09-14 15:30 -------- d-------- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\teamspeak2
2006-09-13 14:31 -------- d---s---- C:\Programme\Xfire
2006-09-12 12:31 -------- d-------- C:\Programme\World of Warcraft2
2006-09-04 18:59 -------- d-------- C:\Programme\a-squared Anti-Malware
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-18 17:18 -------- d-------- C:\Programme\Morpheus
2006-08-16 19:04 10578 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-08-16 19:04 -------- d-------- C:\Programme\Hamachi
2006-08-15 18:12 -------- d-------- C:\Programme\Internet Explorer
2006-08-11 18:54 -------- d-------- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Morpheus
2006-08-11 13:54 -------- d-------- C:\Programme\ICQLite
2006-08-11 13:54 -------- d-------- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\ICQLite
2006-08-11 10:30 -------- d---s---- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Microsoft
2006-08-09 20:16 -------- d-------- C:\Programme\Gish
2006-08-09 19:14 -------- d-------- C:\Programme\AirStrike II DEMO
2006-08-09 18:51 -------- d-------- C:\Programme\TLKGAMES
2006-07-29 15:09 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-07-28 16:57 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-07-28 16:48 -------- d-------- C:\Programme\TDK
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-24 15:28 12400 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-07-24 15:22 -------- d-------- C:\Programme\EA SPORTS
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-18 16:53 -------- d-------- C:\Programme\Prey
2006-07-17 12:38 -------- d-------- C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Real
2006-07-17 12:35 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-07-17 12:35 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-07-17 12:35 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-07-17 12:34 -------- d-------- C:\Programme\Real
2006-07-09 13:42 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-07-03 19:13 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-06-25 15:28 569396 --------- C:\WINDOWS\system32\awvtu.dll
2006-06-22 07:06 69120 --a------ C:\WINDOWS\system32\ciodm.dll
2006-06-22 07:06 1441792 --a------ C:\WINDOWS\system32\query.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="\"c:\\programme\\valve\\steam\\steam.exe\" -silent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"HTpatch"="C:\\WINDOWS\\htpatch.exe"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,42,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^StarOffice 6.0.lnk]
"path"="C:\\Dokumente und Einstellungen\\Administrator\\Startmenü\\Programme\\Autostart\\StarOffice 6.0.lnk"
"backup"="C:\\WINDOWS\\pss\\StarOffice 6.0.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\STAROF~1.0\\program\\QUICKS~1.EXE "
"item"="StarOffice 6.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Robert^Startmenü^Programme^Autostart^StarOffice 6.0.lnk]
"path"="C:\\Dokumente und Einstellungen\\Robert\\Startmenü\\Programme\\Autostart\\StarOffice 6.0.lnk"
"backup"="C:\\WINDOWS\\pss\\StarOffice 6.0.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\STAROF~1.0\\program\\QUICKS~1.EXE "
"item"="StarOffice 6.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\avgnt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avgnt"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="C:\\Programme\\iTunes\\iTunesHelper.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MSMSGS"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\MSMSGS.EXE\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Spyware Doctor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="swdoctor"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\SPYWAR~1\\swdoctor.exe /Q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtu
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmyy32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 16.09.2006 11:45:32.21
ComboFix.txt

#4 spitfire025

warum postest du nur die haelfte der logs ????

«
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

«
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hab ich doch gemacht?!

€dit: achso moment, hab die vergessen ;(
hier:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0428-D236

Verzeichnis von C:\WINDOWS\system32

16.09.2006 11:48 1.212.789 utvwa.ini
16.09.2006 11:41 1.158 wpa.dbl
16.09.2006 11:41 54.112 vsconfig.xml
16.09.2006 11:40 44.068 nvapps.xml
16.09.2006 11:29 1.212.400 utvwa.bak2
14.09.2006 19:25 43.520 CmdLineExt03.dll
11.09.2006 19:37 8.960.936 MRT.exe
03.09.2006 18:55 392.296 perfh009.dat
03.09.2006 18:55 58.596 perfc009.dat
03.09.2006 18:55 405.118 perfh007.dat
03.09.2006 18:55 70.580 perfc007.dat
03.09.2006 18:55 938.048 PerfStringBackup.INI
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
18.08.2006 11:45 143 mcrh.tmp
02.08.2006 19:17 4.212 zllictbl.dat
29.07.2006 15:09 98.304 CmdLineExt.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
17.07.2006 12:35 176.167 rmoc3260.dll
17.07.2006 12:34 5.632 pndx5032.dll
17.07.2006 12:34 6.656 pndx5016.dll
17.07.2006 12:34 278.528 pncrt.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0428-D236

Verzeichnis von C:\DOKUME~1\Robert\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0428-D236

Verzeichnis von C:\WINDOWS

16.09.2006 11:41 0 0.log
16.09.2006 11:39 1.094.957 WindowsUpdate.log
16.09.2006 11:39 2.048 bootstat.dat
16.09.2006 11:34 32.612 SchedLgU.Txt
15.09.2006 23:10 907.651 setupapi.log
15.09.2006 19:13 487 win.ini
15.09.2006 19:13 227 system.ini
15.09.2006 19:12 2.375.578 ntbtlog.txt
15.09.2006 15:02 99.460 iis6.log
15.09.2006 15:02 165.994 comsetup.log
15.09.2006 15:02 99.748 ntdtcsetup.log
15.09.2006 15:02 246.726 tsoc.log
15.09.2006 15:02 20.943 ocmsn.log
15.09.2006 15:02 1.374 imsins.log
15.09.2006 15:02 13.667 KB920685.log
15.09.2006 15:02 319.361 ocgen.log
15.09.2006 15:02 31.500 msgsocm.log
15.09.2006 15:02 622.351 FaxSetup.log
15.09.2006 15:01 1.374 imsins.BAK
15.09.2006 15:01 15.655 KB920872.log
15.09.2006 15:01 15.665 KB919007.log
14.09.2006 15:01 7.736 KB922582.log
14.09.2006 15:01 39.803 updspapi.log
09.09.2006 19:40 65.722 wmsetup.log
09.09.2006 00:08 4.600 WgaNotify.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0428-D236

Verzeichnis von C:\

16.09.2006 11:52 0 sys.txt
16.09.2006 11:51 9.002 system.txt
16.09.2006 11:49 134 systemtemp.txt
16.09.2006 11:49 95.410 system32.txt
16.09.2006 11:45 10.346 ComboFix.txt
16.09.2006 11:38 1.073.270.784 hiberfil.sys
16.09.2006 11:38 1.610.612.736 pagefile.sys
15.09.2006 19:13 211 boot.ini
15.09.2006 18:59 3.497 VundoFix.txt
09.08.2006 19:15 13.030 PDOXUSRS.NET
28.06.2006 17:11 0 error.txt
20.06.2006 18:19 36.280 GamingC.mac
14.06.2006 16:18 32 ALCSetup.log
20.05.2006 18:27 47.564 NTDETECT.COM
20.05.2006 18:27 251.184 ntldr
24.02.2003 12:01 0 nvlog.txt
29.08.2002 13:00 4.952 bootfont.bin
06.06.1999 16:15 0 CONFIG.SYS
06.06.1999 16:15 0 AUTOEXEC.BAT
06.06.1999 16:15 0 MSDOS.SYS
06.06.1999 16:15 0 IO.SYS
21 Datei(en) 2.684.355.162 Bytes
0 Verzeichnis(se), 80.468.836.352 Bytes frei


sorry hatte die zusammen abgespeichert aber vergessen zu posten...

#6 spitfire025

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtu
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmyy32

Files to delete:
C:\WINDOWS\system32\utvwa.ini
C:\WINDOWS\system32\utvwa.bak2
C:\WINDOWS\system32\mcrh.tmp

Folders to delete:
C:\Programme\Free Download Manager

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O15 - Trusted Zone: http://locator1.cdn.imagesrvr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com

O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm

PC neustarten

**
poste das neue Log vom hijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ich hatte das jetzt mit avenger gemacht, nach dem neustart schien der virus auch weg zu sein nur kam kurze zeit später wieder die meldung von antivir, und das log konnte ich nicht mehr abspeichern, da ich nichts mehr öffnen konnte
das mit hijackthis hab ich auch schon gemacht

hier das log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rvoqpmdj

*******************

Script file located at: \??\C:\brurtngn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\utvwa.ini deleted successfully.
File C:\WINDOWS\system32\utvwa.bak2 deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
Folder C:\Programme\Free Download Manager deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtu deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmyy32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

das kam nach dem neustart, jedoch ist der virus immer noch da...

#8 poste wieder das log vom hijackThis+ die 4 logs von datfindbat

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint
+

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#9 so hier mal von listen.bat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0428-D236

Verzeichnis von C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp

22.09.2006 23:11 <DIR> .
22.09.2006 23:11 <DIR> ..
19.09.2006 17:42 221.184 Cli15.tmp
19.09.2006 18:34 221.184 Cli32.tmp
22.09.2006 15:30 221.184 Cli5F.tmp
20.09.2006 15:34 221.184 Cli69.tmp
22.09.2006 15:48 221.184 Cli72.tmp
19.09.2006 15:08 <DIR> isp4D.tmp
19.09.2006 17:16 <DIR> ispB.tmp
06.04.2005 20:39 121.064 set49.tmp
06.04.2005 20:39 121.064 set7.tmp
20.09.2006 15:34 4.592 temp.ani
19.09.2006 17:41 347 _isdelet.ini
19.09.2006 15:11 <DIR> {01ACADAE-A01C-406E-AF21-0F2A7B3722C6}
19.09.2006 17:41 <DIR> {ED122190-1493-42C2-B245-2B953136EB88}
9 Datei(en) 1.352.987 Bytes
6 Verzeichnis(se), 73.574.400.000 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0428-D236

Verzeichnis von C:\WINDOWS\Temp

23.09.2006 11:12 <DIR> .
23.09.2006 11:12 <DIR> ..
19.09.2006 14:16 16.384 Perflib_Perfdata_1b4.dat
16.09.2006 15:49 16.384 Perflib_Perfdata_45c.dat
16.09.2006 17:14 16.384 Perflib_Perfdata_63c.dat
22.09.2006 14:31 16.384 Perflib_Perfdata_774.dat
20.09.2006 21:23 16.384 Perflib_Perfdata_81c.dat
23.09.2006 11:11 255 WGAErrLog.txt
23.09.2006 11:12 409 WGANotify.settings
16.09.2006 16:27 256 ZLT0011e.TMP
22.09.2006 14:33 256 ZLT00147.TMP
16.09.2006 16:29 256 ZLT0028b.TMP
16.09.2006 16:29 256 ZLT0028f.TMP
22.09.2006 14:41 256 ZLT004d9.TMP
19.09.2006 14:14 256 ZLT005f6.TMP
23.09.2006 11:09 256 ZLT0067e.TMP
19.09.2006 14:17 256 ZLT0082b.TMP
19.09.2006 14:17 256 ZLT0082f.TMP
22.09.2006 14:41 256 ZLT00863.TMP
16.09.2006 16:45 256 ZLT00f22.TMP
16.09.2006 15:42 256 ZLT01016.TMP
20.09.2006 21:22 256 ZLT01b7c.TMP
20.09.2006 21:22 256 ZLT01b7f.TMP
20.09.2006 21:29 256 ZLT0210b.TMP
16.09.2006 17:14 256 ZLT024b8.TMP
16.09.2006 15:41 256 ZLT02568.TMP
16.09.2006 17:15 256 ZLT025b0.TMP
16.09.2006 16:24 256 ZLT02c9a.TMP
23.09.2006 11:09 256 ZLT0305e.TMP
16.09.2006 15:43 256 ZLT03102.TMP
16.09.2006 16:27 256 ZLT03a3e.TMP
16.09.2006 15:48 256 ZLT03ee5.TMP
20.09.2006 14:36 256 ZLT04208.TMP
17.09.2006 19:01 256 ZLT044d2.TMP
17.09.2006 13:30 256 ZLT0480f.TMP
17.09.2006 13:32 256 ZLT04932.TMP
17.09.2006 13:30 256 ZLT0562b.TMP
16.09.2006 15:34 256 ZLT058a1.TMP
16.09.2006 15:34 256 ZLT058a4.TMP
19.09.2006 14:14 256 ZLT05976.TMP
16.09.2006 15:39 256 ZLT05c3d.TMP
16.09.2006 15:39 256 ZLT05c47.TMP
16.09.2006 15:41 256 ZLT05d87.TMP
16.09.2006 15:42 256 ZLT05eba.TMP
16.09.2006 15:43 256 ZLT05fb5.TMP
20.09.2006 21:29 256 ZLT06039.TMP
16.09.2006 15:45 256 ZLT060db.TMP
16.09.2006 15:45 256 ZLT060e1.TMP
16.09.2006 15:48 256 ZLT06372.TMP
16.09.2006 15:50 256 ZLT06471.TMP
16.09.2006 15:50 256 ZLT06474.TMP
20.09.2006 14:36 256 ZLT064fc.TMP
16.09.2006 15:51 256 ZLT065c1.TMP
16.09.2006 15:51 256 ZLT065c4.TMP
16.09.2006 15:53 256 ZLT06742.TMP
16.09.2006 15:53 256 ZLT0674c.TMP
17.09.2006 13:32 256 ZLT06eeb.TMP
16.09.2006 17:15 256 ZLT06fff.TMP
16.09.2006 16:45 256 ZLT078d1.TMP
16.09.2006 17:14 256 ZLT07910.TMP
22.09.2006 14:27 256 ZLT07a0b.TMP
22.09.2006 14:27 256 ZLT07a0e.TMP
22.09.2006 14:30 256 ZLT07c67.TMP
22.09.2006 14:30 256 ZLT07c6b.TMP
22.09.2006 14:33 256 ZLT07e96.TMP
16.09.2006 16:24 256 ZLT07ef9.TMP
64 Datei(en) 97.176 Bytes
2 Verzeichnis(se), 73.574.395.904 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0428-D236

Verzeichnis von C:\Temp

17.09.2006 15:34 <DIR> .
17.09.2006 15:34 <DIR> ..
22.09.2006 17:10 420 log.txt
1 Datei(en) 420 Bytes
2 Verzeichnis(se), 73.574.395.904 Bytes frei

#10 spitfire025

1.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

2.
scanne und poste den report
http://virus-protect.org/artikel/tools/superantispyware.html

3.
poste das neue Log vom HijackThis

4.
mache einen Komplettscan mit Antivirus und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Ok also Virus ist jetzt wohl endgültig entfernt, nur hab ich noch eine frage
Und zwar was hat das zu Bedeuten

Zitat

O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing

Mein Internet spinnt schon ne Zeit lang herum, immer wenn wer daheim auf das Festnetz anruft und man dann abhebt startet sich das Internet neu. Das gleiche beim Auflegen
Könnte das die Ursache sein? aber da steht ja "xfire_lsp_10650.dll" und xfire is nur ein Gamer-Tool dass ich schon ganz gerne behalten will

#12 xfire_lsp_10650.dll ist im Winsock, allerdings als Fehler - deshalb die probleme ....

LSPfix
http://www.spychecker.com/program/lspfix.html
- hake an: "I know what Im doing"--Remove
- und loesche die xfire_lsp_10650.dll (eventuell musst du die dll von links nach rechts bringen)
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hm... also ich hab auch diverse probleme mit dem tv/vundo.gen ... bekomme ständig neue meldungen von antivir und immer wieder sind es andere dateien, die sich aber im selben ordner befinden... ich hab nun schon viele foren durchforstet und bin immer wieder darauf gestoßen, dass mein system kompromittiert sein könnte -.- naja, neu aufsetzen möcht ich das nun nicht unbedingt, weil ich habs erst vor kurzem gemacht ^^
wäre sehr nett, wenn mir jmd. helfen könnte...



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 26. April 2007 08:00

Es wird nach 750232 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: BLA-EFB3F27640D

Versionsinformationen:
BUILD.DAT : 244 14437 Bytes 16.04.2007 16:03:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 24.04.2007 22:04:38
AVSCAN.DLL : 7.0.4.0 41000 Bytes 24.04.2007 22:04:38
LUKE.DLL : 7.0.4.11 143400 Bytes 24.04.2007 22:04:40
LUKERES.DLL : 7.0.4.0 10792 Bytes 24.04.2007 22:04:40
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 07:15:46
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 10:59:32
ANTIVIR2.VDF : 6.38.1.1 798720 Bytes 17.04.2007 13:27:00
ANTIVIR3.VDF : 6.38.1.41 132608 Bytes 25.04.2007 22:03:40
AVEWIN32.DLL : 7.4.0.15 2421248 Bytes 24.04.2007 22:04:40
AVWINLL.DLL : 1.0.0.7 14376 Bytes 24.04.2007 22:04:38
AVPREF.DLL : 7.0.2.1 24616 Bytes 24.04.2007 22:04:38
AVREP.DLL : 7.0.0.1 155688 Bytes 24.04.2007 22:04:40
AVPACK32.DLL : 7.3.0.8 360488 Bytes 10.04.2007 01:34:02
AVREG.DLL : 7.0.1.2 31784 Bytes 24.04.2007 22:04:38
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 24.04.2007 22:04:38
AVARKT.DLL : 1.0.0.12 274472 Bytes 24.04.2007 22:04:36
NETNT.DLL : 7.0.0.0 7720 Bytes 24.04.2007 22:04:40
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 24.04.2007 22:04:30
RCTEXT.DLL : 7.0.45.0 86056 Bytes 24.04.2007 22:04:30

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 26. April 2007 08:00

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'miranda32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Rainlendar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtkBtMnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTFMON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TVgenial.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgas.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRAY.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'QtZgAcer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALG.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ewidoctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'guard.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVGUARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SCHED.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPOOLSV.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCMWLTRY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EXPLORER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VSMON.EXE' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVCHOST.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATI2EVXX.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '15' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\fmqfgatq.dll
[FUND] Ist das Trojanische Pferd TR/Spy.VBStat.B.1
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3LEYXDH9\lo1[1]
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EA655GM6\lo1[1]
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JS36GUX5\lo1[1]
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JS36GUX5\lo1[2]
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP41\A0024587.dll
[FUND] Ist das Trojanische Pferd TR/Agent.125460
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP41\A0024581.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025202.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025342.dll
[FUND] Ist das Trojanische Pferd TR/Agent.125460
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025344.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025345.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025346.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025347.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025348.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025349.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025350.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025351.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025352.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025353.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{24F3AC4D-CE65-4195-9655-C22219FD0C11}\RP42\A0025354.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\VundoFix Backups\gebca.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\VundoFix Backups\pmkjk.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\VundoFix Backups\pmnnl.dll.bad
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <ACERDATA>


Ende des Suchlaufs: Donnerstag, 26. April 2007 09:41
Benötigte Zeit: 1:41:33 min

Der Suchlauf wurde vollständig durchgeführt.

6290 Verzeichnisse wurden überprüft
296780 Dateien wurden geprüft
23 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
23 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
296757 Dateien ohne Befall
8660 Archive wurden durchsucht
1 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden

...übrigends zeigt der zwar an, dass die dateien gelöscht wurden, aber ich denke, wenn ich morgen wieder scanne findet er wieder neue -.-
na, vll. gibt es ja trotzdem hoffnung ^^
achja, noch etwas... mit dem vundofix habs ichs auch schon probiert, schien auch erst zu klappen, nur nachdem alles "angeblich" bereinigt war, ließ ich ihn zur sicherheit nochmal laufen, fand aber nix (währenddessen hatte ich antivir deaktiviert) ...aber als ich antivir dann wieder aktiviert habe, es nochmal laufen ließ, durchsuchte er die dateien, stoppte bei unterschiedlichen dll-dateien und es kam wieder eine fundmeldung des antivirernprogramms... nur wie gesagt, löschen ging nich (;

#14 Hallo,

ich habe auch eine Datei auf dem Computer, die sich nicht löschen lässt. Avenger läuft nicht, weil ich mit Vista arbeite. Ich habe den Tipp von Sabrina mit dem Editor ausprobiert, das System sagt mir aber, es würde die Datei files.txt nicht finden. Was muss ich machen?

#15 Um welche Datei handelt es sich da?
__________
MfG Argus