Noch immer Virenbefall? Keine Rechte als Admin

#1 Hallo,
ich muss das Notebook eines Bekannten in Ordnung bringen und bin sicher, das ein Virus sein Unwesen treibt. Einige habe ich bereits dank der guten Anleitungen entfernen können, aber irgend etwas passt noch nicht.

Symptome:
Administrator hat auch im abgesicherten Modus keine Rechte
In Computeradministrator-Konten sind keine Registerkarten "Sicherheit" bei Ordnereigenschaften vorhanden

Norton 360 kann die Intrusion Prevention nicht öffnen, den Ratschlag des Supports, die Rechte der "Gemeinsamen Dokumente" auf "Jeder" umzustellen, funktioniert nicht (Zugriff verweigert)

System: Toshiba Notebook mit Windows XP Professional Service Pack 3

Hier Logfile von Malwarebyte:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1142
Windows 5.1.2600 Service Pack 3

13.09.2008 01:23:41
mbam-log-2008-09-13 (01-23-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 108186
Laufzeit: 1 hour(s), 15 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 3
Infizierte Dateien: 27

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\fajmdnot.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\iifddccD.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlJArroP.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\puqpru.dll (Trojan.Vundo) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4f7e9d97-bee7-4f55-811d-19f15f2120ad} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljarrop (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{4f7e9d97-bee7-4f55-811d-19f15f2120ad} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fa006056-6c58-42dc-9dd3-2d01c50f09bb} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{fa006056-6c58-42dc-9dd3-2d01c50f09bb} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{4e3a1acc-4151-48cf-a446-0aea93e536ce} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{4f7e9d97-bee7-4f55-811d-19f15f2120ad} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\74edb392 (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\iifddccd -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\iifddccd -> Delete on reboot.

Infizierte Verzeichnisse:
C:\Programme\Smart Antivirus 2009 (Rogue.SmartAntivirus) -> Quarantined and deleted successfully.
C:\Programme\Smart Antivirus 2009\Infected (Rogue.SmartAntivirus) -> Quarantined and deleted successfully.
C:\Programme\Smart Antivirus 2009\Suspicious (Rogue.SmartAntivirus) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\mlJArroP.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\iifddccD.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\Dccddfii.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Dccddfii.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fajmdnot.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tondmjaf.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mikocutn.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ntucokim.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\puqpru.dll (Trojan.Vundo) -> Delete on reboot.
C:\Dokumente und Einstellungen\Rainer Holl\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V2TAKABK\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{75D0EE5A-5C57-4245-ABC4-79F22AE2C701}\RP316\A0087249.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{75D0EE5A-5C57-4245-ABC4-79F22AE2C701}\RP317\A0087325.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{75D0EE5A-5C57-4245-ABC4-79F22AE2C701}\RP318\A0087381.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{75D0EE5A-5C57-4245-ABC4-79F22AE2C701}\RP318\A0087430.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\aqacci.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kmodpg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hvciwohg.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iifETKaa.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\iwaypmlm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kswqbkmr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Programme\Smart Antivirus 2009\vscan.tsi (Rogue.SmartAntivirus) -> Quarantined and deleted successfully.
C:\Programme\Smart Antivirus 2009\zlib.dll (Rogue.SmartAntivirus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sgdikfpb.dll (Trojan.Vundo) -> Delete on reboot.
C:\Dokumente und Einstellungen\Arno Holl\Desktop\Smart Antivirus-2009.lnk (Rogue.SmartAntivirus) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Arno Holl\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Smart Antivirus-2009.lnk (Rogue.SmartAntivirus) -> Quarantined and deleted successfully.


Hier Logfile von Windows Scan:
Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

13.09.2008 nsreg.dat 10 31:0
13.09.2008 WindowsUpdate.log 10 20:74.752
13.09.2008 wiadebug.log 10 20:259
13.09.2008 0.log 10 20:0
13.09.2008 wiaservc.log 10 20:50
13.09.2008 bootstat.dat 10 19:2.048
13.09.2008 SchedLgU.Txt 10 19:32.050
13.09.2008 nsw.log 10 18:450
13.09.2008 setupapi.log 10 18:33.264
13.09.2008 setupact.log 10 16:75
Mobile 13.09.2008 ModemLog_HUAWEI 02 33:10.534
13.09.2008 PPF.txt 02 13:0
13.09.2008 OEWABLog.txt 02 11:345
13.09.2008 wmsetup.log 02 11:643
13.09.2008 ntdtcsetup.log 02 05:2.458
13.09.2008 comsetup.log 02 05:4.048
13.09.2008 iis6.log 02 05:13.110
13.09.2008 tsoc.log 02 05:5.642
13.09.2008 ocmsn.log 02 05:684
13.09.2008 imsins.log 02 05:1.374
13.09.2008 tabletoc.log 02 05:622
13.09.2008 KB938464.log 02 05:5.333
13.09.2008 netfxocm.log 02 05:2.166
13.09.2008 ocgen.log 02 05:5.912
13.09.2008 MedCtrOC.log 02 05:850
13.09.2008 msgsocm.log 02 05:618
13.09.2008 FaxSetup.log 02 05:12.366


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

13.09.2008 wpa.dbl 10 20:1.158
13.09.2008 bpfkidgs.ini 00 59:1.110.367
13.09.2008 ybgegg.dll 00 59:132.736
13.09.2008 mdfgcdhq.dll 00 59:132.736
13.09.2008 7fce77ec-.txt 00 58:0
11.09.2008 fpylvjtm.ini 11 48:1.332.267
10.09.2008 ovawlequ.ini 09 36:1.290.063
09.09.2008 chcrqkpd.ini 09 36:1.289.754
08.09.2008 kgxhjvki.ini 09 35:1.289.222
31.08.2008 perfh009.dat 11 07:380.684
31.08.2008 perfc009.dat 11 07:53.098
31.08.2008 perfh007.dat 11 07:391.574
31.08.2008 perfc007.dat 11 07:63.976
31.08.2008 PerfStringBackup.INI 11 07:897.778
31.08.2008 spupdwxp.log 00 09:90
31.08.2008 FNTCACHE.DAT 00 09:113.376
30.08.2008 spupdsvc.inf 23 37:2.981
26.08.2008 MRT.exe 22 28:16.208.504
23.08.2008 TZLog.log 16 26:609.048
09.08.2008 Biport 11 22:0
18.07.2008 cdm.dll 22 10:94.920
18.07.2008 wuauclt.exe 22 10:53.448
18.07.2008 wups2.dll 22 10:45.768
18.07.2008 wups.dll 22 10:36.552
18.07.2008 wucltui.dll.mui 22 10:33.992
18.07.2008 wuaucpl.cpl.mui 22 09:29.896
18.07.2008 wuapi.dll.mui 22 09:29.896
18.07.2008 wuaucpl.cpl 22 09:215.752
18.07.2008 wucltui.dll 22 09:325.832
18.07.2008 wuapi.dll 22 09:563.912
18.07.2008 wuweb.dll 22 09:205.000
18.07.2008 wuaueng.dll 22 09:1.811.656
18.07.2008 wuaueng.dll.mui 22 08:21.192
07.07.2008 es.dll 22 26:253.952
24.06.2008 mscms.dll 18 42:74.240
24.06.2008 wmpeffects.dll 18 12:295.936
24.06.2008 mshtml.dll 10 14:3.592.192
23.06.2008 wininet.dll 18 14:826.368
23.06.2008 webcheck.dll 18 14:233.472
23.06.2008 pngfilt.dll 18 14:44.544
23.06.2008 mstime.dll 18 14:671.232
23.06.2008 url.dll 18 14:105.984
23.06.2008 msrating.dll 18 14:193.024
23.06.2008 urlmon.dll 18 14:1.159.680
23.06.2008 mshtmled.dll 18 14:477.696
23.06.2008 occache.dll 18 14:102.912
23.06.2008 inetcpl.cpl 18 14:1.831.424


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 16 K
System 4 Console 0 236 K
smss.exe 648 Console 0 372 K
csrss.exe 712 Console 0 3.992 K
winlogon.exe 736 Console 0 3.984 K
services.exe 780 Console 0 3.324 K
lsass.exe 792 Console 0 1.452 K
svchost.exe 968 Console 0 4.764 K
svchost.exe 1016 Console 0 4.248 K
svchost.exe 1056 Console 0 23.484 K
svchost.exe 1168 Console 0 3.484 K
svchost.exe 1284 Console 0 6.164 K
ccSvcHst.exe 1504 Console 0 2.928 K
brsvc01a.exe 1696 Console 0 1.212 K
brss01a.exe 1728 Console 0 1.984 K
spoolsv.exe 1736 Console 0 5.552 K
AluSchedulerSvc.exe 1892 Console 0 1.844 K
CFSvcs.exe 1932 Console 0 852 K
svchost.exe 2032 Console 0 4.320 K
explorer.exe 1208 Console 0 34.208 K
alg.exe 580 Console 0 3.476 K
igfxtray.exe 976 Console 0 3.356 K
hkcmd.exe 1152 Console 0 2.856 K
igfxpers.exe 1172 Console 0 2.828 K
agrsmmsg.exe 1188 Console 0 2.500 K
Apoint.exe 1196 Console 0 5.280 K
CeEKey.exe 1260 Console 0 3.088 K
TPTray.exe 1408 Console 0 2.828 K
ZoomingHook.exe 1816 Console 0 2.008 K
TCtrlIOHook.exe 1836 Console 0 2.624 K
TPSMain.exe 1860 Console 0 3.900 K
SmoothView.exe 1960 Console 0 2.044 K
TFncKy.exe 2016 Console 0 3.448 K
PadExe.exe 2052 Console 0 10.012 K
TvsTray.exe 2068 Console 0 2.336 K
NDSTray.exe 2076 Console 0 5.936 K
tfswctrl.exe 2084 Console 0 3.676 K
TPSBattM.exe 2092 Console 0 2.472 K
jusched.exe 2100 Console 0 2.400 K
pptd40nt.exe 2116 Console 0 2.664 K
CFSServ.exe 2148 Console 0 5.308 K
ccApp.exe 2192 Console 0 968 K
ApntEx.exe 2208 Console 0 1.896 K
qttask.exe 2232 Console 0 2.416 K
ctfmon.exe 2252 Console 0 3.312 K
TOSCDSPD.exe 2276 Console 0 2.256 K
Monitor.exe 2284 Console 0 9.656 K
GoogleToolbarNotifier.exe 2296 Console 0 812 K
BrMfcWnd.exe 2492 Console 0 3.636 K
soffice.exe 2568 Console 0 1.536 K
soffice.bin 2628 Console 0 16.052 K
svchost.exe 2816 Console 0 3.312 K
AcroRd32.exe 324 Console 0 14.224 K
firefox.exe 1912 Console 0 40.936 K
cmd.exe 2908 Console 0 1.836 K
tasklist.exe 3044 Console 0 4.364 K
wmiprvse.exe 1828 Console 0 5.600 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 13.09.2008 um 10:35:35,70 ***


Hier Logfile von HiJackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:39:48, on 13.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Symantec\LiveUpdate\luall.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Virenschutz\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\VIRENS~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE (User 'SYSTEM')
O4 - S-1-5-18 Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\VIRENS~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\VIRENS~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

--
End of file - 11131 bytes


Mehr weiß ich jetzt nicht mehr. Kann mir bitte jemand helfen?
Gruß
KokomikoM

#2 kokomikoM

>>
Lass folgende Dateien bei www.virustotal.com/de prüfen und poste die Ergebnisse: (Evtl musst du die Dateien für dich sichtbar machen:
http://virus-protect.org/invisible.html

C:\WINDOWS\system32\ybgegg.dll
C:\WINDOWS\system32\mdfgcdhq.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
JAVA Update:
Download http://java.sun.com/javase/downloads/index.jsp
Scrolle runter nach ---->Java Runtime Environment (JRE) 6 Update 7
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6u7-windows-i586-p.exe ” zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe

>>
Wende Combofix an, Warnmeldungen wegklicken, poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

Für mich

Zitat

C:\WINDOWS\system32\fpylvjtm.ini
bpfkidgs.ini
ovawlequ.ini
chcrqkpd.ini
kgxhjvki.ini

:

#3 Hallo Swiss,
vielen Dank erst einmal.

Hier ist der Logfile von Combofix:

ComboFix 08-09-13.03 - Rainer Holl 2008-09-14 2:34:09.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Rainer Holl\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Dokumente und Einstellungen\Arno Holl\Cookies\arno_holl@indextools[1].txt
C:\Dokumente und Einstellungen\Arno Holl\Cookies\arno_holl@statcounter[2].txt
C:\Dokumente und Einstellungen\Arno Holl\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Dokumente und Einstellungen\Ursula Holl\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\bpfkidgs.ini
C:\WINDOWS\system32\chcrqkpd.ini
C:\WINDOWS\system32\fpylvjtm.ini
C:\WINDOWS\system32\kgxhjvki.ini
C:\WINDOWS\system32\ovawlequ.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-14 bis 2008-09-14 ))))))))))))))))))))))))))))))
.

2008-09-13 19:52 . 2008-09-13 19:54 <DIR> d-------- C:\Downloads
2008-09-13 18:57 . 2008-09-13 18:57 <DIR> d-------- C:\Dokumente und Einstellungen\Rainer Holl\Anwendungsdaten\Ashampoo
2008-09-13 18:57 . 2008-09-13 18:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-09-13 18:57 . 2008-09-13 18:57 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-13 18:57 . 2008-09-13 18:57 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-13 18:56 . 2008-09-13 18:56 <DIR> d-------- C:\Programme\Ashampoo
2008-09-13 18:07 . 2005-09-20 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\WINDOWS
2008-09-13 18:07 . 2005-09-20 14:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Vorlagen
2008-09-13 18:07 . 2005-09-20 15:19 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Startmen�
2008-09-13 18:07 . 2006-07-28 21:43 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Netzwerkumgebung
2008-09-13 18:07 . 2008-09-14 02:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen
2008-09-13 18:07 . 2008-09-13 18:07 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Favoriten
2008-09-13 18:07 . 2008-09-13 18:07 <DIR> dr------- C:\Dokumente und Einstellungen\Internet\Eigene Dateien
2008-09-13 18:07 . 2005-09-20 15:19 <DIR> d--h----- C:\Dokumente und Einstellungen\Internet\Druckumgebung
2008-09-13 18:07 . 2005-09-20 16:10 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\toshiba
2008-09-13 18:07 . 2005-09-20 16:30 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Symantec
2008-09-13 18:07 . 2005-09-20 16:25 <DIR> d-------- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten\Sonic
2008-09-13 18:07 . 2005-09-20 16:30 <DIR> dr-h----- C:\Dokumente und Einstellungen\Internet\Anwendungsdaten
2008-09-13 18:07 . 2008-09-13 18:07 <DIR> d-------- C:\Dokumente und Einstellungen\Internet
2008-09-13 17:46 . 2008-09-13 17:49 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-09-13 17:42 . 2008-09-13 18:17 <DIR> d-------- C:\Programme\NOS
2008-09-13 17:42 . 2008-09-13 18:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NOS
2008-09-13 16:30 . 2008-09-13 16:30 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-09-13 15:43 . 2008-09-13 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-09-13 14:37 . 2008-09-13 14:37 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Brother
2008-09-13 14:29 . 2008-09-13 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OLYMPUS
2008-09-13 14:20 . 2002-12-03 19:09 552,960 -ra------ C:\WINDOWS\system32\CNCC730.DLL
2008-09-13 14:16 . 2008-09-13 14:16 <DIR> d-------- C:\Programme\Belkin
2008-09-13 14:15 . 2007-09-27 12:53 79,232 -ra------ C:\WINDOWS\system32\drivers\sxuptp.sys
2008-09-13 10:46 . 2008-09-13 10:51 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-09-13 10:31 . 2008-09-13 10:31 0 --a------ C:\WINDOWS\nsreg.dat
2008-09-13 02:26 . 2008-09-13 02:27 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-09-13 00:05 . 2008-09-13 00:05 <DIR> d-------- C:\Dokumente und Einstellungen\Rainer Holl\Anwendungsdaten\Malwarebytes
2008-09-13 00:04 . 2008-09-13 00:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-13 00:04 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-13 00:04 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-12 09:50 . 2008-09-12 09:50 <DIR> d-------- C:\Programme\T-Mobile
2008-09-12 09:50 . 2007-03-01 17:20 88,960 --a------ C:\WINDOWS\system32\drivers\ewusbmdm.sys
2008-09-12 09:50 . 2007-03-01 17:20 24,448 --a------ C:\WINDOWS\system32\drivers\ewdcsc.sys
2008-09-11 19:44 . 2008-09-11 19:44 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-09-11 18:49 . 2008-09-11 19:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-11 18:14 . 2008-09-13 10:38 <DIR> d-------- C:\Sicherungen
2008-09-11 17:39 . 2008-09-14 02:06 <DIR> d-------- C:\Programme\Virenschutz
2008-09-11 17:17 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-09-11 17:17 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-09-11 17:16 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-09-11 17:16 . 2008-04-13 20:45 10,368 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-08-30 23:34 . 2008-08-30 23:37 2,981 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-08-30 23:26 . 2008-08-30 23:26 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-30 23:26 . 2008-08-30 23:26 <DIR> d-------- C:\WINDOWS\system32\bits
2008-08-30 23:26 . 2008-08-30 23:26 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-30 23:14 . 2008-08-30 23:27 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-30 09:58 . 2004-08-04 00:38 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-14 00:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-09-14 00:29 --------- d-----w C:\Programme\Java
2008-09-13 17:56 --------- d-----w C:\Dokumente und Einstellungen\Rainer Holl\Anwendungsdaten\OpenOffice.org2
2008-09-13 16:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-09-13 16:01 --------- d-----w C:\Programme\OpenOffice
2008-09-13 16:00 --------- d-----w C:\Programme\OpenOffice.org 2.0
2008-09-13 14:06 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-09-13 12:59 --------- d-----w C:\Programme\Norton 360
2008-09-12 07:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-30 15:42 23,888 -c--a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-07-30 15:28 706 -c--a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-07-30 15:28 10,537 -c--a-w C:\WINDOWS\system32\drivers\COH_Mon.cat
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 57344]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-26 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-07-19 77824]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2004-03-23 196608]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"HWSetup"="C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"SVPWUTIL"="C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 65536]
"Tvs"="C:\Programme\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-05-31 122941]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 115816]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-05 98304]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 C:\WINDOWS\agrsmmsg.exe]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 C:\WINDOWS\system32\TCtrlIOHook.exe]
"TPSMain"="TPSMain.exe" [2005-08-12 C:\WINDOWS\system32\TPSMain.exe]
"TFncKy"="TFncKy.exe" [BU]
"NDSTray.exe"="NDSTray.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= pvmjpg21.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]
--------- 2005-05-17 17:42 933888 C:\Programme\Brother\ControlCenter2\brctrcen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
--a------ 2007-07-14 19:59 1836544 C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
--a------ 2005-07-19 11:10 114688 C:\WINDOWS\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OM_Monitor]
--a------ 2006-05-16 18:50 40960 C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PadTouch]
--a------ 2005-08-30 12:34 1077328 C:\Programme\Toshiba\Touch and Launch\PadExe.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]
--------- 2005-01-26 18:02 49152 C:\Programme\Brother\Brmfl05a\BrStDvPt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
--a------ 2005-05-13 11:01 118784 C:\Programme\Toshiba\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-09-26 13:47 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zooming]
--a------ 2005-06-06 09:58 24576 C:\WINDOWS\system32\ZoomingHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"gusvc"=3 (0x3)
"GoogleDesktopManager"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Belkin\\Network USB Hub Control Center\\Connect.exe"=
"C:\\WINDOWS\\system32\\ftp.exe"=
"C:\\Programme\\Norton 360\\MAINSTUB.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"19540:UDP"= 19540:UDP:SXUPTP

R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2007-09-26 554352]
R2 sxuptp;SXUPTP Driver;C:\WINDOWS\system32\DRIVERS\sxuptp.sys [2007-09-27 79232]
S3 TNPacket;T-Systems Nova Packet Capture Driver;C:\Programme\T-DSL SpeedManager\TNPACKET.SYS [2004-03-11 9696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{466749b6-809f-11dd-9e21-000fb0a3b6fd}]
\Shell\AutoRun\command - E:\AutoRun.exe

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Rainer Holl\Anwendungsdaten\Mozilla\Firefox\Profiles\8ypzc8qq.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 02:39:14
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Toshiba\ConfigFree\CFSvcs.exe
C:\Programme\Toshiba\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Apoint2K\ApntEx.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Belkin\Network USB Hub Control Center\Connect.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-14 2:43:26 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-14 00:43:20

Pre-Run: 18 Verzeichnis(se), 46,053,429,248 Bytes frei
Post-Run: 22 Verzeichnis(se), 46,008,127,488 Bytes frei

222 --- E O F --- 2008-09-13 00:06:51

#4 KokomikoM

Und das hier:

Zitat

>>
Lass folgende Dateien bei www.virustotal.com/de prüfen und poste die Ergebnisse: (Evtl musst du die Dateien für dich sichtbar machen:
http://virus-protect.org/invisible.html

C:\WINDOWS\system32\ybgegg.dll
C:\WINDOWS\system32\mdfgcdhq.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

Gruss Swiss

#5 Hallo Swiss,

obwohl ich alles genauso gemacht habe, wie du gesagt hast, werden mir die beiden Dateien, die du nennst, nicht angezeigt. Ich habe auch diesen Reg-Schlüssel, den du genannt hast, geholt und installiert. Trotzdem finde ich die Datei nicht. Ich starte jetzt noch einmal einen Suchlauf.

Ich melde mich wieder. Danke einstweilen.

So, Suchlauf abgeschossen, trotz durchsuchen auch versteckter Dateien und Unterordner wird die Datei nicht gefunden. Was tue ich jetzt?

Wo in meinen Logs hast du diese Dateien denn gesehen? Wenn ich diese Seite durchsuche, finde ich die Dateien nirgendwo. Ist vielleicht sogar das Fehlen dieser Dateien ein Symptom? Aber zu beiden Dateien finde ich auch beim Googlen keine Info. Diese dll-Dateien scheint es ja gar nicht zu geben?! Ich verstehe jetzt gar nichts mehr, tut mir leid.

Gruß
KokomikoM

#6 KokomikoM

Hier im Windowscan:

Zitat

13.09.2008 ybgegg.dll 00 59:132.736
13.09.2008 mdfgcdhq.dll 00 59:132.736

>>
Logfiles mittels datfind.bat erstellen und posten (abkopieren) http://virus-protect.org/datfindbat.html

Starte diese Batchdatei datfind.bat danach öffnet sich ein Notepad/Editor Fenster.
Kopiere diese erstellte Textdatei ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie ist nach Datum geordnet.
(kürze die Textdatei je Verzeichnis auf die letzten 3 Monate !)

Gruss Swiss

#7 Hallo Swiss,

leider haben die Besitzer ihr Notebook wieder abgeholt - sie dachten wohl, die Angelegenheit sei "im Handumdrehen" zu lösen.

Ich habe sie darauf aufmerksam gemacht, dass ich noch nicht alles gemacht habe, was du mir empfohlen hast, aber sie wollten es mitnehmen. Nun, was soll ich da machen? Ich habe mein Bestes gegeben (mit deiner Hilfe), wenn jetzt noch etwas drauf ist, ist es deren Eigensinn zu verdanken.

Jedenfalls danke ich dir sehr für deine Hilfe, ich habe viel gelernt in den drei Tagen.

Gruß
KokomikoM