Mein Freund ist wiedermal da TR/Vundo

#1 Habe wieder ein altbekanntes Problem und brauche erneut eure Hilfe...

Der TR/Vundo ist wieder da - diesmal aber auf dem PC meiner Freundin.

Brauche wiedermal dringend eure Hilfe...


Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:03, on 3.7.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Desktop\VundoFix.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\iftuyszv.exe,
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1000106.exe 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [0886f723] rundll32.exe "C:\WINDOWS\system32\mmbqxgnn.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RGVuaXNl\command.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 3844 bytes

#2 Hallo, Basti130183

««
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

««
Start -- Ausführen -- schreib rein: cmd

sc stop Network Monitor

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Network Monitor

[klicke "enter"]

sc stop Command Service

[klicke "enter"]

sc delete Command Service

[klicke "enter"]

--------------------------------------------

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\iftuyszv.exe,

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1000106.exe 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310

O4 - HKLM\..\Run: [0886f723] rundll32.exe "C:\WINDOWS\system32\mmbqxgnn.dll",b

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RGVuaXNl\command.exe (file missing)

O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe

PC neustarten

««
«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Combofix:

ComboFix 08-07-02.5 - Miss Fokker 2008-07-03 21:43:20.2 - NTFSx86
ausgeführt von:: D:\Desktop\ComboFix.exe
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-03 bis 2008-07-03 ))))))))))))))))))))))))))))))
.

2008-07-03 20:54 . 2008-07-03 20:54 <DIR> d-------- C:\Programme\Trend Micro
2008-07-03 20:51 . 2008-07-03 20:51 <DIR> d-------- C:\VundoFix Backups
2008-07-03 09:38 . 2008-07-03 09:38 <DIR> d-------- C:\Programme\Avira
2008-07-03 09:38 . 2008-07-03 09:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-03 08:57 . 2008-07-03 14:40 <DIR> d-------- C:\WINDOWS\system32\yrt
2008-07-03 08:57 . 2008-07-03 14:39 <DIR> d-------- C:\WINDOWS\system32\pRI
2008-07-03 08:57 . 2008-07-03 13:15 <DIR> d-------- C:\WINDOWS\system32\modtrux05
2008-07-03 08:57 . 2008-07-03 08:57 <DIR> d-------- C:\Temp\syschk3
2008-07-03 08:57 . 2008-07-03 21:08 <DIR> d-------- C:\Temp
2008-06-30 15:55 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-06-30 15:49 . 2004-08-04 00:46 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-06-30 15:48 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-06-28 11:50 . 2005-02-11 11:24 6,144 -ra------ C:\WINDOWS\system32\drivers\k750cm.sys
2008-06-28 11:50 . 2005-02-11 11:19 5,744 -ra------ C:\WINDOWS\system32\drivers\k750wh.sys
2008-06-28 11:47 . 2008-06-28 11:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Documents
2008-06-28 11:47 . 2008-06-28 11:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-06-18 20:44 . 2008-06-18 20:44 <DIR> d-------- C:\Programme\Tinypic
2008-06-09 07:54 . 2008-06-09 07:54 <DIR> d-------- C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\Ahead
2008-06-08 08:27 . 2008-06-14 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\UseNeXT
2008-06-08 08:26 . 2008-06-14 18:29 <DIR> d-------- C:\Programme\UseNeXT
2008-06-08 08:19 . 2008-06-08 08:23 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2008-06-07 05:17 . 2008-06-07 05:18 <DIR> d-------- C:\Programme\LimeWire
2008-06-07 02:54 . 2008-06-07 02:55 <DIR> d-------- C:\Programme\CCleaner
2008-06-07 00:58 . 2008-06-07 00:58 <DIR> d-------- C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\Nokia Multimedia Player
2008-06-07 00:18 . 2008-06-07 00:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-06-07 00:18 . 2008-06-07 04:23 1,852 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-06-07 00:17 . 2008-06-07 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\Nokia
2008-06-07 00:13 . 2008-06-07 00:13 <DIR> d-------- C:\Programme\DIFX
2008-06-07 00:13 . 2008-06-07 00:18 <DIR> d-------- C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\PC Suite
2008-06-07 00:12 . 2008-06-07 00:12 <DIR> d-------- C:\Programme\PC Connectivity Solution
2008-06-06 23:02 . 2008-06-06 23:02 <DIR> d-------- C:\Programme\Sony Ericsson
2008-06-05 18:48 . 2008-06-28 11:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-06-05 18:42 . 2008-06-07 00:18 <DIR> d-------- C:\WINDOWS\Downloaded Installations

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 05:21 --------- d-----w C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\LimeWire
2008-06-30 21:59 --------- d-----w C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\ICQ
2008-06-26 21:57 --------- d-----w C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\Skype
2008-06-22 18:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-06-10 19:06 --------- d-----w C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\skypePM
2008-06-09 06:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-06-05 16:42 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-01 18:18 --------- d-----w C:\Programme\Java
2008-06-01 12:29 --------- d-----w C:\Programme\MEGLO
2008-05-21 12:01 --------- d-----w C:\Programme\ICQ6
2008-05-21 11:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-21 11:44 --------- d-----w C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\InstallShield
2008-05-14 19:52 --------- d-----w C:\Dokumente und Einstellungen\Miss Fokker\Anwendungsdaten\MSNInstaller
2008-05-14 13:37 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-05-14 13:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-02-26 11:07 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

------- Sigcheck -------

2004-08-04 14:00 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe
2004-08-04 14:00 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\dllcache\svchost.exe

2005-03-02 20:19 578560 4c90159a69a5fd3eb39c71411f28fcff C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-03-08 17:48 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
2004-08-04 14:00 578560 56785fd5236d7b22cf471a6da9db46d8 C:\WINDOWS\$NtUninstallKB890859$\user32.dll
2005-03-02 20:09 578560 3751d7cf0e0a113d84414992146bce6a C:\WINDOWS\$NtUninstallKB925902$\user32.dll
2007-03-08 17:36 579072 492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 579072 492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\system32\dllcache\user32.dll

2004-08-04 14:00 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll
2004-08-04 14:00 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\dllcache\ws2_32.dll

2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2004-08-04 14:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2007-10-30 19:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-30 19:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\system32\drivers\tcpip.sys

2004-08-04 14:00 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe
2004-08-04 14:00 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\dllcache\winlogon.exe

2004-08-04 14:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\dllcache\ndis.sys
2004-08-04 14:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 14:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\dllcache\ip6fw.sys
2004-08-04 14:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

2005-03-02 20:11 2059264 ae8364004bbfd70461d2ef34888d3360 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 18:06 2061696 9b9ca27ad315c02b71510238574894b2 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2004-08-04 14:00 2059136 ce41fc4c06499a389d39b301879535fb C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe
2005-03-02 20:06 2059136 bdff8ffa77ee7df9758ef8c1e0da8eff C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2005-03-02 20:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 18:06 2184448 e1de7a10d46959560c3b617227d95c19 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2004-08-04 14:00 2183296 dc888c9c4ca0eea7a3cb7e6b610f75c7 C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe
2005-03-02 20:06 2181632 7189a2391adc1f65c9ae87b0abe0f945 C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\system32\dllcache\explorer.exe

2004-08-04 14:00 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\services.exe
2004-08-04 14:00 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\dllcache\services.exe

2004-08-04 14:00 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\lsass.exe
2004-08-04 14:00 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\dllcache\lsass.exe

2004-08-04 14:00 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\ctfmon.exe
2004-08-04 14:00 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((( snapshot@2008-07-03_21.23.21.29 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-03 19:15:31 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-03 19:35:32 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 D:\Eigene Dateien\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-04 14:00 208952 C:\WINDOWS\ime\IMJP8_1\imjpmig.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-04 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-04 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Schedule"=2 (0x2)
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"TuneUp.Defrag"=3 (0x3)
"srservice"=2 (0x2)
"ERSvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 G200;G200;C:\WINDOWS\system32\DRIVERS\G200m.sys [2001-08-18 05:33]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-07 18:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 21:47:23
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-03 21:51:40
ComboFix-quarantined-files.txt 2008-07-03 19:51:32
ComboFix2.txt 2008-07-03 19:24:31

7 Verzeichnis(se), 1,810,239,488 Bytes frei
9 Verzeichnis(se), 1,801,039,872 Bytes frei

172 --- E O F --- 2008-05-28 09:03:04

#4 ««

http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\system32\iftuyszv.exe
C:\WINDOWS\system32\yrt
C:\WINDOWS\system32\pRI
C:\WINDOWS\system32\modtrux05
C:\Temp\syschk3
C:\Programme\Network Monitor
C:\WINDOWS\RGVuaXNl

Klicke auf den Roten MoveIt!

-------------------------------------------

>>
scanne mit Malwarebytes- lasse alles entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit