XP-Pro dreht sich im Kreis bei der Benutzeranmeldung

#1 Hallo zusammen,

wie gesagt, meine XP-Pro-Maschine dreht sich bei der Benutzeranmeldung im Kreis. Es kommt das bekannte Fenster: "STRG-ALT-ENTF drücken", wenn mann das macht, das Fenster mit der Benutzeranmeldung, nach der Anmeldung gerade mal das Desktop-Hintergrundbild und dann zurück zum STRG-ALT-ENTF-Fenster. Im Moment läuft mein Rechner im abgesicherten Modus.

Arbeite jetzt des Thred http://board.protecus.de/t23187.htm ab:

2. Temporäre Dateien beseitigen

Habe ich gemacht.

3. Scan mit Malwarebytes -

wie beschrieben durchgeführt, keine Meldungen aber auch keine Besserung.

4.
Combofix

hier das Protokoll:
ComboFix 08-11-26.03 - Benutzer1 2008-11-26 15:21:43.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.965 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\benutzer1.DOM\Desktop\AV\combofix\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sys.txt
c:\windows\system32\FTPx.dll
c:\windows\system32\MabryObj.dll
c:\windows\winhelp.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-26 bis 2008-11-26 ))))))))))))))))))))))))))))))
.

2008-11-26 14:43 . 2008-11-26 14:43 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-26 14:43 . 2008-11-26 14:43 <DIR> d-------- c:\dokumente und einstellungen\benutzer1.DOM\Anwendungsdaten\Malwarebytes
2008-11-26 14:43 . 2008-11-26 14:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-26 14:43 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-26 14:43 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-26 10:06 . 2008-11-26 10:06 <DIR> d-------- c:\dokumente und einstellungen\benutzer1.DOM\DoctorWeb
2008-11-26 09:35 . 2008-11-26 09:35 552 --a------ c:\windows\system32\d3d8caps.dat
2008-11-24 20:54 . 2008-11-24 20:54 74,384 --a------ c:\windows\system32\qgpcmyluhgn
2008-11-24 17:18 . 2008-11-26 11:07 <DIR> d-------- c:\programme\a-squared Free
2008-11-24 15:29 . 2008-11-21 10:08 314 --a------ c:\dokumente und einstellungen\benutzer1.DOM\ebay.bat
2008-11-20 14:34 . 2008-11-21 10:08 314 --a------ C:\ebay.bat
2008-11-12 08:34 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 08:33 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-05 17:15 . 2008-11-05 17:15 <DIR> d-------- c:\programme\MSECache
2008-10-27 09:21 . 2008-10-27 09:21 <DIR> d-------- c:\programme\Alwil Software
2008-10-27 08:32 . 2008-04-14 03:22 1,036,800 --a--c--- c:\windows\system32\dllcache\explorer.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-26 11:30 --------- d-----w c:\dokumente und einstellungen\benutzer1.DOM\Anwendungsdaten\AVG7
2008-11-26 07:05 --------- d-----w c:\programme\LogMeIn
2008-11-25 14:41 --------- d-----w c:\programme\FRITZ!
2008-11-25 08:27 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-25 07:19 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2008-11-18 07:05 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-11-14 08:10 --------- d-----w c:\dokumente und einstellungen\benutzer1.DOM\Anwendungsdaten\FRITZ!
2008-11-10 07:31 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-11-03 15:27 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-11-03 15:27 --------- d-----w c:\programme\Common Files
2008-11-03 15:27 --------- d-----w c:\programme\Brother
2008-10-27 08:28 --------- d-----w c:\dokumente und einstellungen\Benutzer1\Anwendungsdaten\AVG7
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 15:13 --------- d-----w c:\programme\Microsoft Silverlight
2008-10-20 09:38 417,792 ----a-w c:\windows\system32\clodbc400.EXE
2008-10-20 09:38 335,872 ----a-w c:\windows\system32\clodbc400.dll
2008-10-16 18:35 87,352 ----a-w c:\windows\system32\LMIinit.dll
2008-10-16 18:35 83,288 ----a-w c:\windows\system32\LMIRfsClientNP.dll
2008-10-16 18:35 28,984 ----a-w c:\windows\system32\LMIport.dll
2008-10-16 18:35 23,736 ----a-w c:\windows\system32\lmimirr.dll
2008-10-16 18:35 10,040 ----a-w c:\windows\system32\lmimirr2.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-08 12:13 --------- d-----w c:\dokumente und einstellungen\benutzer1.DOM\Anwendungsdaten\OfficeUpdate12
2008-10-06 07:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AVG7
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:24 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:13 1,307,648 ----a-w c:\windows\system32\msxml6.dll
2008-09-04 17:15 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-26 07:57 826,368 ----a-w c:\windows\system32\wininet.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-19 68856]
"IZSoftTrayHelper"="c:\programme\Tray Helper Free\launch.exe" [2007-09-25 25128]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2008-10-16 590848]
"eDoc"="c:\progra~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe" [2005-12-22 266240]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2007-06-26 312320]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2008-10-22 1261200]
"Dit"="Dit.exe" [2004-08-05 c:\windows\Dit.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2007-10-25 219136]

c:\dokumente und einstellungen\benutzer1.DOM\Startmen�\Programme\Autostart\
FRITZ!fax.lnk - c:\programme\FRITZ!\FriFax32.exe [2008-04-01 1504560]
Kundenstamm f�r DPD exportieren.MAM [2005-07-11 280]
Telefon- und Branchenbuch Fr�hjahr 2007 - Schnellstarter.lnk.disabled [2007-02-27 1011]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office 2000 pro\Office\OSA9.EXE [2000-01-21 65588]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kvposopeh]
2008-04-14 06:52 2560 c:\windows\system32\mepxsxpu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-16 19:35 87352 c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.HFYU"= huffyuv.dll
"VIDC.DIV4"= divxc32f.dll
"VIDC.DIV3"= divxc32.dll
"MSACM.DIVXA32"= divxa32.acm
"vidc.div2"= divxc32.dll
"vidc.xvid"= xvid.dll
"vidc.mjpg"= pvmjpg21.dll
"vidc.rt21"= IR21_R.DLL
"vidc.ir21"= IR21_R.DLL
"msacm.wrpr"= aviwrap.dll
"vidc.wrpr"= aviwrap.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Windows Search.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Windows Search.lnk
backup=c:\windows\pss\Windows Search.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]
--a--c--- 2005-03-17 16:01 40960 c:\programme\ScanSoft\PaperPort\IndexSearch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn GUI]
--a------ 2007-08-03 15:09 63048 c:\programme\LogMeIn\x86\LogMeInSystray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mozilla Quick Launch]
--a------ 2003-06-24 11:09 568096 c:\programme\Netscape7\Netscp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 06:52 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]
--a--c--- 2005-03-17 15:39 57393 c:\programme\ScanSoft\PaperPort\pptd40nt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REG_OPTIM]
--a------ 1999-11-12 15:33 142336 r:\installation\regopt\RegOpt\regop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager]
--a------ 2008-04-14 06:52 144384 c:\windows\system32\mobsync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a--c--- 2002-04-26 18:53 12288 c:\programme\Winamp\winampa.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MCLight\\MCLWIN\\PRG\\ZBASE32.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"c:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"c:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"c:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=

R0 BTMgr;Bluelet Device Manager Service;c:\windows\system32\Drivers\BTMgr.sys [2004-01-22 34023]
R0 TwkMs;CHIPDRIVE Maus Adapter;c:\windows\system32\drivers\TwkMs.sys [2003-12-05 4828]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\DRIVERS\AVMCOWAN.sys [2003-06-18 51200]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\DRIVERS\fpcibase.sys [2003-06-18 481408]
S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-10-27 78416]
S1 SLEE_13_DRIVER;Steganos Live Encryption Engine 13 [Driver];\??\c:\windows\System32\drivers\SLEE13.sys [2005-10-11 08:14:38 74240]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-10-27 20560]
S2 LiveUpdateInstaller;LiveUpdateInstaller;c:\programme\Gemeinsame Dateien\Sage KHK Shared\Liveupdate\LiveUpdateInstaller.exe [2007-11-30 659456]
S2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\programme\LogMeIn\x86\RaInfo.sys [2007-08-03 12856]
S2 LMIRfsDriver;LogMeIn Remote File System Driver;\??\c:\windows\System32\drivers\LMIRfsDriver.sys [2008-01-11 47640]
S2 Registry;Sage Registrierungsdienst;c:\programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE [2007-11-30 86016]
S2 SVKP;SVKP;\??\c:\windows\System32\SVKP.sys []
S2 TwkPCSC;CHIPDRIVE PC/SC Drivers;c:\windows\system32\drivers\TwkPCSC.sys [2003-12-05 11676]
S2 TWKSCARDSRV;CHIPDRIVE SCARD Service;c:\windows\SCARDS32.EXE [2003-12-05 286720]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\DRIVERS\avmwan.sys [2003-12-05 37568]
S3 CardReaderFilter;Card Reader Filter;\??\c:\windows\system32\Drivers\USBCRFT.SYS [2006-04-12 17408]
S3 KEN;AVM KEN PPP over ISDN;c:\windows\system32\DRIVERS\KEN.sys []
S3 MTK;Media Technology Kernel Driver;c:\windows\system32\Drivers\fide.sys [2004-01-06 14601]
S3 TWKPNP;CHIPDRIVE Plug and Play driver;c:\windows\system32\DRIVERS\TWKPNP.SYS [2003-12-05 5550]
S4 LMIRfsClientNP;LMIRfsClientNP; []

*Newly Created Service* - TWKPCSC
.
Inhalt des "geplante Tasks" Ordners

2008-11-25 c:\windows\Tasks\{12D3AFBA-703F-4D52-AD7F-6B281A904EE4}_DOM_Benutzer1.job
- c:\windows\system32\mobsync.exe [2008-04-14 06:52]

2008-11-25 c:\windows\Tasks\{F897AA24-BDC3-11D1-B85B-00C04FB93981}_DOM_Benutzer1.job
- c:\windows\system32\mobsync.exe [2008-04-14 06:52]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Tsl2 - c:\progra~1\COMMON~1\tsa\tsl2.exe
HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-Email Guard - c:\programme\eMailGuard\Email Guard.exe
MSConfigStartUp-KEN Taskbar Service - c:\programme\KEN!\kentbsrv.exe
MSConfigStartUp-SetIcon - c:\program files\SMSC\Seticon.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: {8FB47763-217A-4775-A16B-1016B0DA061A} = 192.168.1.191

c:\windows\Downloaded Program Files\tra2_3_0.rc - c:\windows\Downloaded Program Files\PIXACODnDUpload.ocx
O16 -: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA}
hxxp://www.pixaco.de/static/download/pixacodndupload.cab
c:\windows\Downloaded Program Files\PIXACODnDUpload.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-26 15:23:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(416)
c:\windows\system32\mepxsxpu.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
.
Zeit der Fertigstellung: 2008-11-26 15:25:30
ComboFix-quarantined-files.txt 2008-11-26 14:24:49
ComboFix2.txt 2007-06-13 14:52:07

Vor Suchlauf: 22 Verzeichnis(se), 21.958.725.632 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 21,960,560,640 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

219 --- E O F --- 2008-11-10 07:21:28

-----------------------------------------------------------------------------------------------

5. Erstellen eines Hijackthis-Logfiles

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29, on 2008-11-26
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMult.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMult.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMult.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [eDoc] C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [IZSoftTrayHelper] C:\Programme\Tray Helper Free\launch.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: Kundenstamm für DPD exportieren.MAM
O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000 pro\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.1.65:3128/ken2000.html
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120463360734
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1193306180609
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dom.intern
O17 - HKLM\Software\..\Telephony: DomainName = dom.intern
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FB47763-217A-4775-A16B-1016B0DA061A}: NameServer = 192.168.1.191
O20 - Winlogon Notify: kvposopeh - C:\WINDOWS\SYSTEM32\mepxsxpu.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdateInstaller - Sage Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Liveupdate\LiveUpdateInstaller.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\LogMeIn.exe
O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE

--
End of file - 7937 bytes


-----------------------------------------------------------------------------------------------

6.
Erstellen einer Uninstall Liste

ABarCode
ActiveBarcode Trial-Version 5.55
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.3 - Deutsch
Adobe Reader Chinese Traditional Fonts
a-squared Free 3.5
ASUS Probe V2.21.05
AVG 7.5
AVM FRITZ!
Barcode
Calculator Powertoy for Windows XP
CallBridge Collection
CHIPDRIVE - Gerätetreiber V2.14.38
C-Media WDM Audio Driver
Coala Signatur-Policy
dBpowerAMP Mp4 Codec
dBpowerAMP Rename Extension
Deinstallation Arbeitszeugnis-Generator
eBay Startcenter
eDocPrintPro
ElsterFormular 2007/2008
FreePDF XP (Remove only)
Google Earth
Google Updater
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.0 (KB932471)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows Media Format SDK (KB902344)
Hotfix for Windows XP (KB915800-v4)
Hotfix für Windows Internet Explorer 7 (KB947864)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Huffyuv AVI lossless video codec (Remove Only)
Image Resizer Powertoy for Windows XP
Internet Explorer Q903235
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 6
Java 2 Runtime Environment, SE v1.4.0_01
Java 2 Runtime Environment, SE v1.4.1_02
Java 2 Runtime Environment, SE v1.4.2_05
Java Web Start
Java(TM) 6 Update 2
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
klickTel Telefon- und Branchenbuch Frühjahr 2007
klickTel Toolbar
Kunden Manager 62.50.303.0
LabelBarPro
LogMeIn
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - DEU
Microsoft .NET Framework 3.0 Service Pack 1
Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - DEU
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Data Access Components KB870669
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office 2000 SR-1 Professional
Microsoft Office Converter Pack
Microsoft Office PowerPoint Viewer 2007 (German)
Microsoft Silverlight
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Windows-Journal-Viewer
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB933579)
Multi Media Germany Toolbar
Multi-Card Reader & Flash Disk
Netscape (7.1)
Nokia Connectivity Cable Driver
PaperPort
PowerDVD
RAR Password Recovery v1.1 RC17 (remove only)
RedMon - Redirection Port Monitor
RufIdent
Safety Bar
Sage Classic Line 2008 Workstation
SequoiaView
Sicherheitsupdate für Step by Step Interactive Training (KB898458)
Sicherheitsupdate für Step by Step Interactive Training (KB923723)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Media Player 10 (KB911565)
Sicherheitsupdate für Windows Media Player 10 (KB917734)
Sicherheitsupdate für Windows Media Player 10 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950759)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Silicon Laboratories CP210x USB to UART Bridge (Driver Removal)
SiS 900 PCI Fast Ethernet Adapter Driver
Spelling Dictionaries Support For Adobe Reader 8
Spybot - Search & Destroy
Spybot - Search & Destroy 1.5.2.20
Steganos Live Encryption Engine 13
Sydbanks MultiCash light
Total Commander (Remove or Repair)
Tsunami-Filter-Pack
UPC EAN Barcode Font (Demo)
Update für Windows XP (KB942763)
Update für Windows XP (KB943729)
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951618-v2)
Update für Windows XP (KB951978)
USB 2.0 Card Reader
USB-Modul
Viewpoint Media Player (Remove Only)
Winamp (remove only)
Windows Genuine Advantage v1.3.0254.0
Windows Imaging Component
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Media Player 9-Hotfix [Weitere Informationen finden Sie unter KB885492.]
Windows Presentation Foundation
Windows Search 4.0
Windows XP Service Pack 3
WinRAR Archivierer
XML Paper Specification Shared Components Language Pack 1.0

Ich benutze normalerweise AVG 7.5, aber der hat nie angeschlagen.
Habe dann A-Squared versucht:
WIN32.Kuang2!IK in einer DLL eine Inst-Verzeichnisses und in der Wiederherstellung
Win32.Outbreak!IK in einer Datei im Papierkorb
Worm.Win32.Emold.D!IK in einem eMail-Anhang

#2 Lasse
c:\windows\system32\qgpcmyluhgn
C:\WINDOWS\SYSTEM32\mepxsxpu.dll
bei Virustotal pruefen und poste den Link zum Ergebniss. bearbeite bitte die c:\ebay.bat und poste den Inhalt der Datei.

AVG7.5 kannst du deinstallieeren, das wird nicht mehr unterstuetzt.
__________
MfG Ralf
SEO-Spam Hunter

#3 Virustotal kennt die Datei "qgpcmyluhgn" schon: http://www.virustotal.com/de/analisis/bf2f72a91c4893e4ca42f9e8ecf1831d

Ergebnis von "mepxsxpu.dll": http://www.virustotal.com/de/analisis/1f5e621bca802b8495a9bb4ef63cb7dc

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.27.4 2008.11.27 -
AntiVir 7.9.0.35 2008.11.27 TR/Runner.BG
Authentium 5.1.0.4 2008.11.27 W32/Runner.A.gen!Eldorado
Avast 4.8.1281.0 2008.11.27 Win32:Trojan-gen {Other}
AVG 8.0.0.199 2008.11.27 -
BitDefender 7.2 2008.11.27 -
CAT-QuickHeal 10.00 2008.11.27 -
ClamAV 0.94.1 2008.11.27 -
DrWeb 4.44.0.09170 2008.11.27 -
eSafe 7.0.17.0 2008.11.27 -
eTrust-Vet 31.6.6233 2008.11.27 -
Ewido 4.0 2008.11.27 -
F-Prot 4.4.4.56 2008.11.26 W32/Runner.A.gen!Eldorado
F-Secure 8.0.14332.0 2008.11.27 -
Fortinet 3.117.0.0 2008.11.27 -
GData 19 2008.11.27 Win32:Trojan-gen {Other}
Ikarus T3.1.1.45.0 2008.11.27 -
K7AntiVirus 7.10.534 2008.11.26 -
Kaspersky 7.0.0.125 2008.11.27 -
McAfee 5446 2008.11.26 -
McAfee+Artemis 5446 2008.11.26 -
Microsoft 1.4104 2008.11.27 -
NOD32 3645 2008.11.27 -
Norman 5.80.02 2008.11.26 -
Panda 9.0.0.4 2008.11.27 Suspicious file
PCTools 4.4.2.0 2008.11.27 -
Prevx1 V2 2008.11.27 -
Rising 21.05.32.00 2008.11.27 -
SecureWeb-Gateway 6.7.6 2008.11.27 Trojan.Runner.BG
Sophos 4.35.0 2008.11.27 -
Sunbelt 3.1.1832.2 2008.11.27 -
Symantec 10 2008.11.27 -
TheHacker 6.3.1.1.164 2008.11.27 -
TrendMicro 8.700.0.1004 2008.11.27 PAK_Generic.003
VBA32 3.12.8.9 2008.11.26 -
ViRobot 2008.11.27.1489 2008.11.27 -
VirusBuster 4.5.11.0 2008.11.26 -
weitere Informationen
File size: 2560 bytes
MD5...: 54da0e7beec431b0519ebe7509f46e9d
SHA1..: 9e124ee4180b7623b5f77146f8993e7075c75318
SHA256: c8bd796429f3f1d9161d2d048f453d4cc19b3aa8d6b098c9bbf5f1c367801e0f
SHA512: 8be7dda82765511d061623c6cac9e116dcef6eca7b1bc370a243329e053c3504
b80cd9d079a840305b7825cad241333cba3f035e030d88e04cdc44430efee4f5
ssdeep: 6:idq2Vg3F+X32Kpxv+vK9C3a/4bO45ai6d1B3WkaAlf1ls7OA/a/kWdeF/L6dG:
e9GSG0GC9Cxy45ap1dcT/CeNWd
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000102c
timedatestamp.....: 0x48e24164 (Tue Sep 30 15:10:28 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3e 0x200 0.62 9c2d8c24a92c54bc692bd6c585944864
.rdata 0x2000 0x9a 0x200 1.25 2885735ed0563ced472f3bc821256ac5
.reloc 0x3000 0x18 0x200 0.12 7637ef72a3654957537bf15112318e06

( 1 imports )
> kernel32.dll: WinExec

( 1 exports )
fjylruwdio

#4 Ist das ein "Firmenrechner"?
__________
MfG Ralf
SEO-Spam Hunter

#5 ja, Ralf ist er

Füllzeile, um 18 Zeichen zu überschreiten

#6 Ich wuerde die von mir oben angegebenen Dateien loeschen und den Eintrag in Hijackthis anhaken und fix checked druecken:
O20 - Winlogon Notify: kvposopeh - C:\WINDOWS\SYSTEM32\mepxsxpu.dll

Problem ist hier, was bei euch vorgesehen ist im Falle von Malware.

Im Zweifelsfalle setzt den Rechner neu auf! Was ist mit dieser ebay.bat? Weisst du was das ist?
__________
MfG Ralf
SEO-Spam Hunter

#7 Hijackthis habe ich gemacht. löschen läßt sich die mepsxspu.dll vom explorer aus nicht. Versuche ich gleich nach dem Neustart.

Die ebay.bat ist von mir, damit kann ich den Zugriff auf ebay-Seiten ein und ausschalten.