Vorgeschichte:
Habe mir gestern beim Surfen wohl einen Schädling eingefangen, prompt meldete norton einen Angriff.
Hab dann sofort das System gescannt mit Norton Security und Spybot - Search & Destroy, beide fanden Adware, hab die Dateien dann repariert, bzw. entfernt.

Seit dem zeigt Vista mir jedes mal nach einem neuen Aufstarten die Meldung: "Fehler beim Laden der **.dl, Modul nicht auffindbar" das komische ist, dass die fehlerhafte .dll-Datei jedes mal einen anderen Namen trägt .

Habe mich schon ziemlich weit in Google erkundigt, hab aber nichts gefunden, das ich eins zu eins auf mein Problem umsetzen könnte, darum hier der Logfile (übrigens mein erster, bin ziemlicher Jungspund und kenn mich mit "hijackthis" nicht so wirklich aus!):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:13, on 23.04.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\schtasks.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\hp\kbd\kbd.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_CH&c=74&bd=Pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_CH&c=74&bd=Pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: (no name) - {6CB07271-D192-442A-8480-E99102A5C60E} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DelayLoad] C:\Users\Xdream\AppData\Local\Temp\msprint.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: vadokmxt - {CCA2DB67-418F-4AE5-B3BF-E5EE7F53F91A} - C:\Windows\vadokmxt.dll
O21 - SSODL: wdpoefan - {46F5287A-64B9-403E-B563-31EC83B50EA7} - C:\Windows\wdpoefan.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: HP Chasis Button Service (HPBtnSrv) - Unknown owner - c:\hp\HPEZBTN\HPBtnSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 9701 bytes

Zitat:

Habe mir gestern beim Surfen wohl einen Schädling eingefangen, prompt meldete norton einen Angriff.

Zu ungenau. Mit welchem Browser warst Du auf welcher Seite genau? Was genau hat der Virenscanner gemeldet? "Angriff" ist zu ungenau - poste am besten den genauen Wortlaut der Meldung, am besten Du schaust dazu ins Protokoll des Virenscanners.

C:\Users\Xdream\AppData\Local\Temp\msprint.exe
C:\Windows\vadokmxt.dll
C:\Windows\wdpoefan.dll

Werte mal diese drei Dateien nacheinander hier aus und poste sämtliche Ergebnisse, also auch inkl. der Prüfsummenangaben - danach sehen wir mal weiter was sich da machen lässt.

Ich denke es war der I-Net Explorer 7, welche Seite es jetzt genau war, kann ich nicht mehr sagen, sofort alles zugemacht was offen war nach der Nortonmeldung, war auf der Suche nach einem Freeware-Stimmverzerrer, viele Vorschläge und Links gefunden, einer war dann wohl der Falsche.

Nortonmeldung:
Ein Eindringsversuch von XDREAMIV-PC wurde blockiert.
Name des Risikos: HTTP Trojan Zlob
Risikostufe: Hoch
Standardaktionen: Blockieren
Durchgeführte Aktion: Blockieren
Angreifender Computer: XDREAMIV-PC (IP***)
Zieladresse: Kann ich die IP einfach so rausgeben?
Trafficbeschreibung: TCP, ***(das hier auch?)

-----------------
Zu den Dateiprüfungen, hab ich die erste mal geprüft (richtig so?):

Datei msprint.exe empfangen 2008.04.23 20:15:42 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.23.0 2008.04.23 -
AntiVir 7.8.0.8 2008.04.23 TR/Agent.fwi
Authentium 4.93.8 2008.04.22 -
Avast 4.8.1169.0 2008.04.23 Win32:Agent-SVL
AVG 7.5.0.516 2008.04.23 Dropper.Agent.HTW
BitDefender 7.2 2008.04.23 Trojan.Dropper.Zirit.E
CAT-QuickHeal 9.50 2008.04.23 -
ClamAV 0.92.1 2008.04.23 -
DrWeb 4.44.0.09170 2008.04.23 Trojan.Click.origin
eSafe 7.0.15.0 2008.04.21 Suspicious File
eTrust-Vet 31.3.5728 2008.04.23 -
Ewido 4.0 2008.04.23 -
F-Prot 4.4.2.54 2008.04.22 -
F-Secure 6.70.13260.0 2008.04.23 Trojan-Dropper.Win32.Agent.qlx
FileAdvisor 1 2008.04.23 -
Fortinet 3.14.0.0 2008.04.23 -
Ikarus T3.1.1.26 2008.04.23 Trojan-Clicker.Win32.Small.BG
Kaspersky 7.0.0.125 2008.04.23 Trojan-Dropper.Win32.Agent.qlx
McAfee 5279 2008.04.23 Generic Dropper.au
Microsoft 1.3408 2008.04.22 -
NOD32v2 3049 2008.04.23 a variant of Win32/TrojanDropper.Agent.NJP
Norman 5.80.02 2008.04.23 -
Panda 9.0.0.4 2008.04.23 Suspicious file
Prevx1 V2 2008.04.23 TROJAN.AU
Rising 20.41.22.00 2008.04.23 Trojan.DL.Win32.Small.tqz
Sophos 4.28.0 2008.04.23 Mal/Heuri-E
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.23 -
TheHacker 6.2.92.288 2008.04.23 -
VBA32 3.12.6.4 2008.04.16 suspected of Embedded.Trojan-Downloader.Win32.Small.ivo
VirusBuster 4.3.26:9 2008.04.23 -
Webwasher-Gateway 6.6.2 2008.04.23 Trojan.Agent.kri

weitere Informationen
File size: 55296 bytes
MD5...: 386fb81ddde54254f521ec4f5a5bef63
SHA1..: 76b31c268b43e640e4d7e53b0e11bc775b26dabb
SHA256: 0eedbe394ea678ae1ceea7f48e4874c3d238fd65ab7ab9cef5e049131f92d13e
SHA512: 328e9636bd11d185ad5d7117a9ed079cd367cc4a86e70118d6de485ace235d33<BR>965b6eca76ec4b4f4e06f093301355dd0c4f01dfd7cf9e7ded9ee7ceef13b047
PEiD..: PECompact 2.xx --&gt; BitSum Technologies
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401574<BR>timedatestamp.....: 0x480da715 (Tue Apr 22 08:51:33 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 2 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x16000 0xca00 7.68 eda6b6b6c27235f960a3e43388a82bc9<BR>.rsrc 0x17000 0x1000 0xa00 6.62 61f1f725d6d59057f8f2d76e475c7603<BR><BR>( 1 imports ) <BR>&gt; kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree<BR><BR>( 0 exports ) <BR>
packers: PECompact, PECompact
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: MSPRINT.EXE - Prevx

Ergebnis: 17/32 (53.13%)

------------------------

nun auch die anderen Zwei:

C:\Windows\vadokmxt.dll
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2008.4.23.0;2008.04.23;-
AntiVir;7.8.0.8;2008.04.23;ADSPY/AdSpy.Gen
Authentium;4.93.8;2008.04.22;-
Avast;4.8.1169.0;2008.04.23;Win32:Vapsup-BU
AVG;7.5.0.516;2008.04.23;Downloader.Adload.FQ
BitDefender;7.2;2008.04.23;-
CAT-QuickHeal;9.50;2008.04.23;-
ClamAV;0.92.1;2008.04.23;-
DrWeb;4.44.0.09170;2008.04.23;-
eSafe;7.0.15.0;2008.04.21;-
eTrust-Vet;31.3.5728;2008.04.23;Win32/Pripecs!generic
Ewido;4.0;2008.04.23;-
F-Prot;4.4.2.54;2008.04.23;-
F-Secure;6.70.13260.0;2008.04.23;-
FileAdvisor;1;2008.04.23;-
Fortinet;3.14.0.0;2008.04.23;-
Ikarus;T3.1.1.26.0;2008.04.23;Virus.Win32.Agent.LTS
Kaspersky;7.0.0.125;2008.04.23;-
McAfee;5279;2008.04.23;-
Microsoft;1.3408;2008.04.22;Trojan:Win32/Zlob.AI
NOD32v2;3049;2008.04.23;-
Norman;5.80.02;2008.04.23;-
Panda;9.0.0.4;2008.04.23;-
Prevx1;V2;2008.04.23;Downloader.Adload.FQ
Rising;20.41.22.00;2008.04.23;Trojan.DL.Win32.QQHelper.bdp
Sophos;4.28.0;2008.04.23;-
Sunbelt;3.0.1056.0;2008.04.17;-
Symantec;10;2008.04.23;-
TheHacker;6.2.92.289;2008.04.23;-
VBA32;3.12.6.4;2008.04.16;suspected of Downloader.Zlob.7
VirusBuster;4.3.26:9;2008.04.23;-
Webwasher-Gateway;6.6.2;2008.04.23;Ad-Spyware.AdSpy.Gen

weitere Informationen
File size: 221184 bytes
MD5...: e232edeb12a526949f2a63729f0ba04b
SHA1..: 81566f68ef169632a5daff91617dab7b2c4b371f
SHA256: 990c99c53546715645919477759381babad1454ce6d66f2a5b5d9a296793b8fc
SHA512: 8e3735d085fc306bd75ed10834b0674aa49df0be81cce8589517e4e6f5473539<BR>e220611d8f260ade93e349323936125ee22c8b4ad3aefb59d782ee67066415d1
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1000da48<BR>timedatestamp.....: 0x480e0c4e (Tue Apr 22 16:03:26 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x2eef6 0x2f000 6.39 782355bf93e40d65a43e5537d6dd507a<BR>.data 0x30000 0x2eac 0x2000 1.57 05ded1aaa7b900a5c901b62698b06364<BR>.rsrc 0x33000 0x10 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110<BR>.reloc 0x34000 0x24d0 0x3000 4.02 9c5600f9c7191b51d450ebc456147a7d<BR><BR>( 4 imports ) <BR>&gt; KERNEL32.dll: Sleep, GetLastError, CloseHandle, GetSystemTime, CreateEventW, WaitForSingleObject, MultiByteToWideChar, LoadLibraryW, SystemTimeToFileTime, GetFileAttributesW, CreateFileW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, CreateDirectoryW, WriteFile, SetFileTime, GetProcAddress, FindClose, SetFilePointer, FindFirstFileW, SetEndOfFile, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, HeapSize, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FlushFileBuffers, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, CreateFileA<BR>&gt; ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW<BR>&gt; ole32.dll: CoInitialize<BR>&gt; SHLWAPI.dll: SHDeleteKeyW<BR><BR>( 0 exports ) <BR>
Prevx info: VADOKMXT.DLL - Prevx

Ergebnis: 10/32 (31.25%)

-------------------------------------------------------
C:\Windows\wdpoefan.dll
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2008.4.23.0;2008.04.23;-
AntiVir;7.8.0.8;2008.04.23;ADSPY/Agent.PB
Authentium;4.93.8;2008.04.22;-
Avast;4.8.1169.0;2008.04.23;Win32:Agent-LTS
AVG;7.5.0.516;2008.04.23;Downloader.Adload.FP
BitDefender;7.2;2008.04.23;-
CAT-QuickHeal;9.50;2008.04.23;-
ClamAV;0.92.1;2008.04.23;-
DrWeb;4.44.0.09170;2008.04.23;-
eSafe;7.0.15.0;2008.04.21;-
eTrust-Vet;31.3.5728;2008.04.23;-
Ewido;4.0;2008.04.23;-
F-Prot;4.4.2.54;2008.04.23;-
FileAdvisor;1;2008.04.23;-
Fortinet;3.14.0.0;2008.04.23;-
Ikarus;T3.1.1.26;2008.04.23;Virus.Win32.Agent.LTS
Kaspersky;7.0.0.125;2008.04.23;-
Microsoft;1.3408;2008.04.22;Trojan:Win32/Zlob.AI
NOD32v2;3049;2008.04.23;-
Norman;5.80.02;2008.04.23;-
Panda;9.0.0.4;2008.04.23;-
Prevx1;V2;2008.04.23;Downloader.Adload.FP
Rising;20.41.22.00;2008.04.23;Trojan.Win32.Zlob.ajl
Sophos;4.28.0;2008.04.23;-
Sunbelt;3.0.1056.0;2008.04.17;-
Symantec;10;2008.04.23;-
TheHacker;6.2.92.289;2008.04.23;-
VBA32;3.12.6.4;2008.04.16;suspected of Downloader.Zlob.7
VirusBuster;4.3.26:9;2008.04.23;-
Webwasher-Gateway;6.6.2;2008.04.23;Ad-Spyware.Agent.PB

weitere Informationen
File size: 258048 bytes
MD5...: ed43996960dffa91cc3dda8d5cf3983f
SHA1..: ddd7f90e4781429d89f31b7e64b67f0cbeace5b3
SHA256: d270c9bf0e9af370ae8ac24ca92f9418fefa62fc401828bad88a2fb7aa761f15
SHA512: 0b3eafa8299dee36226fe2c2c7c8c7a154a60ae6b071d87751ae3b94b6bbea4e<BR>6506ba0057ff4d468b25723e366b96464e7e1a283cd95e9f3609cdae96015efc
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1000fa9a<BR>timedatestamp.....: 0x480e0e91 (Tue Apr 22 16:13:05 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x32a0c 0x33000 6.43 ec03ba53dfa3aee66045fe74c456b276<BR>.data 0x34000 0x32c0 0x2000 2.59 b4ec75288b85ce13532392ed291d2b77<BR>.rsrc 0x38000 0x51e0 0x6000 4.10 53795bf5b0a0764d6cef511602afcaf6<BR>.reloc 0x3e000 0x24d8 0x3000 4.11 c35bddc4b791b54560ec287809401bba<BR><BR>( 5 imports ) <BR>&gt; KERNEL32.dll: CreateDirectoryW, MoveFileW, WaitForSingleObject, Sleep, FindFirstFileW, FindClose, GetProcAddress, LoadLibraryW, GetLastError, MultiByteToWideChar, CloseHandle, SetFilePointer, SystemTimeToFileTime, GetFileAttributesW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, SetFileTime, SetEndOfFile, WriteFile, CreateFileW, lstrcpynW, GetSystemTime, GetLocaleInfoA, FindNextFileW, FileTimeToSystemTime, FileTimeToLocalFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetTimeZoneInformation, HeapSize, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, CreateFileA<BR>&gt; USER32.dll: MessageBoxW, GetDesktopWindow, GetWindow<BR>&gt; ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW<BR>&gt; ole32.dll: CoInitialize<BR>&gt; SHLWAPI.dll: SHDeleteKeyW<BR><BR>( 0 exports ) <BR>
Prevx info: WDPOEFAN.DLL - Prevx

Ergebnis: 9/30 (30%)

Ahja. Zlob/smitfraud Befall ist schonmal sicher - sicheres Entfernen leider nur durch Neuinstallation des Betriebssystems möglich (wenn Du wirklich sichergehen gehen willst!!) ansonsten dürfte der smitfraudfix recht gute zuverlässige Dienste in Deinem Fall leisten. Folge mal der Zlob-Entferungsanleitung hier im FAQ-Bereich. Poste die relevanten Logfiles.

Also hab SmitFraudFix im abgesicherten Modus ausgeführt, Neugestartet und schonmal keine Fehlermeldung einer dll bekommen.

Leider sprengte der SmitFraudFix-Rapport den Rahmen der Zeichenbegrenzung.
"Der Text, den Sie eingegeben haben, besteht aus 238418 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen."

Darum habe ich mich dafür entschieden die Logs als .txt-Datei auf Doktus.de abzuspeichern, anstatt X-Posts zu schreiben (was wohl auch gegen die Forenregeln verstossen würde).

Hier das SmitFraudFix Ergebnis:
http://www.doktus.de/dok/50725/smitfraudfixlog.html (auf der Linken Seite wäre ein Download der Datei möglich)

und Hier wie in der FAQ geschrieben steht auch das neue HiJackThis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:35:14, on 24.04.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\schtasks.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9c.exe
C:\hp\kbd\kbd.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: (no name) - {6CB07271-D192-442A-8480-E99102A5C60E} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DelayLoad] C:\Users\Xdream\AppData\Local\Temp\msprint.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: vadokmxt - {CCA2DB67-418F-4AE5-B3BF-E5EE7F53F91A} - C:\Windows\vadokmxt.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: HP Chasis Button Service (HPBtnSrv) - Unknown owner - c:\hp\HPEZBTN\HPBtnSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 8736 bytes


--------------------------------------------------

Danke sehr für die bisherige Hilfe!
Ich hoffe, ich bringe den PC bald sauber, eigentlich ist er erst ein paar Tage alt aus dem Geschäft, ich hoffe nicht, dass ein Neuaufsetzen nötig ist, da keine Vista-CD mitgeliefert wurde .

Schöne Grüsse Xdream.

Kann es sein, dass man einen Beitrag nach einiger Zeit nicht mehr editieren kann? Ich wollte Doppelposts zwar vermeiden, aber dachte dann das folgendes doch von Bedeutung sein könnte..

Norton gab vorhin gerade nochmal ein paar Meldungen durch alle Relevanten Angaben dazu:

Titel: Downloader.Zlob!gen.2 erkannt von Virenprüfprogramm
Riskokategorie: Virus
Risikotyp: Dateibasiert
Risikostufe: Niedrig
Risikozustand: Entfernen nicht versucht

Betrochener Bereich:
2 Registrierungseinträge:
HKEY_CLASSES_ROOT\CLSID\{CCA2DB67-418F-4AE5-B3BF-E5EE7F53F91A}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad->vadokmt
1 Datei:
c:\windows\vadokmt.dll
1 Browser-Cache:
wird nicht angezeigt

------------
Kurz darauf die Meldung:
Titel: Downloader.Zlob!gen.2 erkannt von Auto-Protect
Riskokategorie: Virus
Risikotyp: Dateibasiert
Risikostufe: Niedrig
Risikozustand: Vollständig entfernt

Betroffener Bereich:
1 Datei: c:\windows\qnmargolftv.dll
1 Browser-Cache:
Details wieder leer

--------------

6 Sekunden später nochmal die genau gleiche meldung mit dem Betroffenen Bereich diesmal:
1 Datei: c:\windows\vadokmt.dll
1 Browser-Cache:
Details wieder leer

Norton meint angeblich das Ding entfernt zu haben, und das ohne mein Eingreiffen :/...


Ausserdem findet Norton bei jeder Systemprüfung 5 gewisse Tracking-Cookies (obwohl nur 4 mit Namen angezeigt werden) wie er sie nennt..
Cookie:xdream@fc.webmasterpro.de/
Cookie:xdream@msnportal.112.2o7.net/
Cookie:xdream@ad.yieldmanager.com/
Cookie:xdream@adopt.euroclick.com/

Immer wähle ich zwischen den 3 Optionen Reparieren, Ignorieren, Ausschliessen, die Wahl "Reparieren", damit sagt er das Problem sei behoben, bei der nächsten Prüfung werden sie aber wieder gefunden..
Habe das gefühl, dass ich ziemlich in der Sch**sse stecke :/

Besorg Dir mal den Avenger nach dieser Anleitung. Kopier das hier ins weiße Feld hinein, der Rest nach Anleitung:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Users\Xdream\AppData\Local\Temp\msprint.exe
C:\Windows\vadokmxt.dll
         

Poste dann nach dem Reboot das Avenger Logfile. Erstell danach auch ein neues HijackThis log und poste es ebenfalls - alle Logs bitte mit Code tags umschlossen posten (hier bei den Schaltflächen das #-Symbol )