Hallo liebe HelferInnen und LeserInnen,

ich hatte (habe) auch einen Browser Hijacker auf meinem Rechner (Win XP Pro SP2), bedingt durch einen Trojaner. Es ist so aufgetreten, daß auf einmal mein Desktop-Hintergrundbild weg und der Hintergrund nun weiß war. Die Icons und Fenster auf dem Desktop waren teilweise so komisch ausgefranst (weniger aufgelöst) und auch teilweise gelöscht. Unter anderem auch wichtige Dateien von mir, denn ich lege üblicherweise Dateien, woran ich momentan arbeite immer erstmal auf dem Desktop ab. Komme ich da jetzt irgendwie wieder dran, oder sind die für immer gelöscht?

Außerdem wurde eine Weile später der Hintergrund knallrot, mit einem schaurigen Bio-Hazard Zeichen in der Mitte. Drei fremde Icons waren auf einmal drauf, obwohl ich nichts installiert habe. Naja, und ein nerviges Bowserfenster nach dem anderen hat sich in Firefox und IE geöffnet. Mein Avira schlug ständig Alarm und ich hab alle Meldungen sofort löschen lassen. Das Problem ging aber nicht weg. Der Rechner hat auch so komisch gerauscht, wie sonst eigentlich nie. Habe mir dann mehrere Anti-Spyware-Tools auf den Rechner geladen und die alle nacheinander scannen lassen. Die haben auch ne Menge gefunden und (angeblich) gelöscht. Nach dem Neustart am nächsten Tag kam der veränderte Desktop aber wieder, obwohl die Tools doch alle Malware gelöscht hatten. Habe dann noch mehr Reinigungs und Löschtools aus dem Internet runtergeladen und in meiner Verzweiflung alle drüberlaufen lassen. Es wurde ja auch immer wieder was gefunden.

Auf einmal gab der Computer so komische Knack-Geräusche von sich, die sich so ähnlich anhören, wie die Geräusche, die der PC von sich gibt, kurz bevor er ausgeht, beim Runterfahren. Doch ich habe den Rechner nicht runtergefahren, ein paar Minuten später ist der Rechner dann einfach so ausgegangen und wieder hochgefahren, wie beim Neustart. Aber das System war kaum wieder richtig geladen, ist der Rechner auch schon wieder ausgegangen und hat neu gestartet. Ganz komisch...

Also ich hab den Rechner jetzt erstmal stehengelassen und nichts mehr dran gemacht. Will nämlich keine Fehler mehr machen und daher erstmal hier um Rat fragen, bevor ich noch was schlimmeres anstelle. Hoffe ja wirklich, daß jemand eine Idee hat, wie ich weiter verfahren kann. Bin da sehr dankbar.

:cry:

Hallo

versuche bitte zuallererst alle deine wichtigen Daten zu sichern, egal ob auf CD/DVD oder auf externe Datenträger (z.B. USB-Sticks) nur sichere bitte keine ausführbaren Dateien (exe, bat, pif, scr usw.) mit.

Dann erstelle bitte ein HijackThis Log nach dieser Anleitung
http://www.trojaner-board.de/51130-a...ijackthis.html
anschließend sehen wir weiter.

MFG

Hallo, hatte viel zu tun auf Arbeit, daher kommt der LogFile erst jetzt... bin aber an einem anderen Rechner angemeldet

Vielen Dank für die Hilfe!
------------------------------------------


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:46:03, on 03.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wikipedia.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = TO BE
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: dpevflbg - {859D10F7-0E0F-43A8-8DF7-EC0466A40301} - C:\WINDOWS\dpevflbg.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [q5JCgPwvfE] C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer = 141.70.104.1,141.37.218.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 217.237.150.51 217.237.148.22
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: iexplore - eYrg4.dll (file missing)
O21 - SSODL: wdpoefan - {375CBF9A-662A-43D7-9F6E-783D8DB44FD9} - C:\WINDOWS\wdpoefan.dll
O21 - SSODL: vadokmxt - {DFB5476F-AE45-4F45-BB39-7F0217946B80} - C:\WINDOWS\vadokmxt.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 7874 bytes

dein system scheint ordentlich verseucht.
Verziechte erst mal auf online-geschäfte aller art.
Lad combofix halte dich genauestens an anleitung poste log + frisches hijacktkhis-log:
http://virus-protect.org/artikel/tools/combofix.html

Hallo,

vielen Dank für die Tips...

Muß ich eigentlich vorher die Systemwiederherstellung deaktivieren?

Oder noch was anderes beachten?

Vielen Dank...

nur alle programme abschalten und die finger beim combofixdurchlauf vom rechner lassen...

Anleitung zur Reinigung
1) Erst einmal finden Wir heraus , was sich auf deinen System befindet. Das machen Wir folgendermaßen:
Wir benötigen folgende Seite zur Auswertung schädlicher Dateien: VirusTotal - Free Online Virus and Malware Scan
Falls der Link einmal nicht funkioniert , schicke Mir bitte eine private Nachricht damit ich Dir Alternativen schicken kann. Gehe nun auf die Seite und lade dort folgende Dateien hoch:
C:\WINDOWS\dpevflbg.dll
C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe
C:\WINDOWS\vadokmxt.dll
C:\WINDOWS\wdpoefan.dll

Poste uns von jeder Datei die Ergebnisse , auch wenn nichts gefunden wurde.

Entfernung von einigen Antivirenscannern und anderen Programmen zur Schädlingsbekämpfung
Zu viele Virenscanner auf einmal bremsen dein System aus. Entscheide Dich für einen Virenscanner und deinstalliere die anderen bitte. Auch bei anderen Programmen zur Schädlingsbekämpfung (wie z.B Ad-Adware , Spybot , Spyware Doctor usw.) entscheide Dich bitte für eines dieser Programme.

Neues HiJackThis-Logfile
Hast Du dieses HiJackThis-Logfile im abgesicherten Modus erstellt ? Wenn ja , erstelle bitte ein neues Logfile im normalen Modus und poste es uns bitte.

Hallo,

hier ist das frische Hijack-Logfile aus dem normalen Modus nachdem ich Combofix gemacht habe und das Combofix-Logfile auch noch dazu. Alles aus dem normalen Modus.

Vielen Dank...

_______________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:46:32, on 06.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AntiVir PersonalEdition Classic\avwsc.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DWRCS.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\DWRCST.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Adobe\Acrobat 6.0 pro\Distillr\acrotray.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0 pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: dpevflbg - {859D10F7-0E0F-43A8-8DF7-EC0466A40301} - C:\WINDOWS\dpevflbg.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKLM\..\Policies\Explorer\Run: [q5JCgPwvfE] C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0 pro\Distillr\acrotray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{27001091-6C7E-4F60-833A-ACFF11F4211B}: NameServer = 141.70.104.1,141.37.218.10
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: iexplore - eYrg4.dll (file missing)
O21 - SSODL: wdpoefan - {375CBF9A-662A-43D7-9F6E-783D8DB44FD9} - C:\WINDOWS\wdpoefan.dll
O21 - SSODL: vadokmxt - {DFB5476F-AE45-4F45-BB39-7F0217946B80} - C:\WINDOWS\vadokmxt.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9819 bytes

___________________________________________________________

und hier ist das Combofix-Logfile....

ich bin heute wie jeden Tag auf Arbeit und kann erst wieder heute Abend an meinen Rechner daheim

___________________________________________________________

ComboFix 08-05-01.3 - Toby 2008-05-06 0:00:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.244 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Toby\Desktop\Combo-Fix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\start.exe
C:\WINDOWS\system32\Cache

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Legacy_IPRIP
-------\Service_6to4
-------\Service_Iprip


((((((((((((((((((((((( Dateien erstellt von 2008-04-05 bis 2008-05-05 ))))))))))))))))))))))))))))))
.

2008-05-05 23:41 . 2008-05-05 23:41 <DIR> d-------- C:\ComboFix
2008-05-05 23:41 . 2008-05-05 23:42 <DIR> d-------- C:\CCleaner
2008-04-22 21:03 . 2008-05-05 23:56 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-22 21:02 . 2008-05-04 22:57 <DIR> d-------- C:\Programme\Spyware Doctor
2008-04-22 21:02 . 2008-04-22 21:02 <DIR> d-------- C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\PC Tools
2008-04-22 21:02 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-22 21:02 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-22 21:02 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-22 21:02 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-04-22 01:06 . 2008-04-22 01:06 <DIR> d-------- C:\Programme\Trend Micro
2008-04-21 18:44 . 2008-04-21 18:44 <DIR> d-------- C:\Programme\Lavasoft
2008-04-21 18:44 . 2008-04-21 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-21 17:57 . 2008-04-21 17:57 691,545 --a------ C:\WINDOWS\unins000.exe
2008-04-21 17:57 . 2008-04-21 17:57 2,547 --a------ C:\WINDOWS\unins000.dat
2008-04-21 16:41 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-04-21 16:41 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-04-21 16:41 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-04-21 16:41 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-04-21 15:38 . 2008-05-04 22:41 <DIR> d-------- C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\TmpRecentIcons
2008-04-21 14:31 . 2008-04-21 14:31 <DIR> d-------- C:\Programme\Quark
2008-04-21 14:14 . 2008-04-21 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hwtifkdm
2008-04-21 14:14 . 2008-04-21 13:48 258,048 --a------ C:\WINDOWS\wdpoefan.dll
2008-04-21 14:14 . 2008-04-21 13:48 221,184 --a------ C:\WINDOWS\vadokmxt.dll
2008-04-21 14:14 . 2008-04-21 13:48 184,320 --a------ C:\WINDOWS\dpevflbg.dll
2008-04-21 14:14 . 2008-04-21 13:48 102,400 --a------ C:\WINDOWS\olgdqarf.exe
2008-04-21 14:14 . 2008-04-21 13:48 90,112 --a------ C:\WINDOWS\wxvgsdbq.exe
2008-04-21 10:57 . 2008-04-21 10:57 <DIR> d-------- C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\Quark
2008-04-21 10:55 . 2008-04-21 10:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Quark
2008-04-20 06:31 . 2008-05-04 22:41 <DIR> d-------- C:\Programme\Fujifilm
2008-04-06 05:52 . 2008-04-06 05:52 <DIR> d-------- C:\Programme\uTorrent
2008-04-06 05:52 . 2008-04-11 01:51 <DIR> d-------- C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\uTorrent

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 14:48 37,616 ----a-w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\wklnhst.dat
2008-04-22 22:46 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\Skype
2008-04-22 22:04 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\skypePM
2008-04-22 22:00 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\AdobeUM
2008-04-21 19:34 --------- d-----w C:\Programme\Bonjour
2008-04-21 16:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-21 16:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-21 15:59 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-04-15 22:53 --------- d-----w C:\Programme\Lexmark X1100 Series
2008-04-15 20:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-13 19:54 --------- d-----w C:\Programme\ICQ
2008-04-09 15:14 --------- d-----w C:\Programme\Opera
2008-04-09 00:49 --------- d-----w C:\Programme\Vokabeltrainer 3
2008-03-24 01:36 --------- d-----w C:\Programme\Zylom Games
2008-03-24 01:36 --------- d-----w C:\Programme\Winamp
2008-03-24 01:33 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-24 01:33 --------- d-----w C:\Programme\Trillian
2008-03-24 01:33 --------- d-----w C:\Programme\T-Online
2008-03-24 01:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Marmiko Shared
2008-03-23 18:38 --------- d-----w C:\Programme\xp-AntiSpy
2008-03-22 01:32 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\Apple Computer
2008-03-22 01:31 --------- d-----w C:\Programme\iTunes
2008-03-22 01:31 --------- d-----w C:\Programme\iPod
2008-03-22 01:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-03-22 01:30 --------- d-----w C:\Programme\QuickTime
2008-03-22 01:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-03-13 11:56 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\DivX
2008-03-11 06:12 --------- d-----w C:\Programme\pdf24
2008-03-11 06:02 --------- d-----w C:\Programme\DivX
2008-03-11 05:46 --------- d-----w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\Talkback
2008-03-10 09:38 --------- d-----w C:\Programme\Safari
2008-03-10 09:36 --------- d-----w C:\Programme\Apple Software Update
2008-03-10 09:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-24 23:17 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-16 02:11 84,592 ----a-w C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-04-22 16:31 23,286 ----a-w C:\Programme\SaarFun pic.jpeg
2005-04-20 20:12 9,616 ----a-w C:\Programme\oh, mein Gott! .jpeg
2005-04-19 22:17 29,594 ----a-w C:\Programme\lustig askldhbfakld.jpeg
2005-04-19 01:52 1,734 ----a-w C:\Programme\tobsi-kn.jpeg
2005-04-19 01:41 17,572 ----a-w C:\Programme\Rasta Surprise pic.jpeg
2005-04-19 01:40 26,156 ----a-w C:\Programme\Raser pic.jpeg
2005-04-18 17:57 36,803 ----a-w C:\Programme\cher hsdtr.jpeg
2005-04-18 17:56 30,052 ----a-w C:\Programme\cher e.jpeg
2005-04-18 02:08 36,155 ----a-w C:\Programme\schmetterling 2 gafga.jpeg
2005-04-18 02:08 29,867 ----a-w C:\Programme\schmetterling 2 gare.jpeg
2005-04-18 02:08 26,110 ----a-w C:\Programme\schmetterling 2 342.jpeg
2005-04-18 02:07 39,706 ----a-w C:\Programme\schmetterling 2 fseage.jpeg
2005-04-18 02:07 32,264 ----a-w C:\Programme\schmetterling 2 agfsdgaf.jpeg
2005-04-18 02:07 30,028 ----a-w C:\Programme\schmetterling 2 e.jpeg
2005-04-18 02:07 26,564 ----a-w C:\Programme\schmetterling 3.jpeg
2005-04-18 02:06 29,510 ----a-w C:\Programme\schmetterling 2.jpeg
2005-04-18 02:06 21,871 ----a-w C:\Programme\schmetterling.jpeg
2005-04-18 02:06 20,320 ----a-w C:\Programme\libelle.jpeg
2005-04-18 02:06 13,210 ----a-w C:\Programme\butterfly.jpeg
2005-04-15 16:58 3,130,340 ----a-w C:\Programme\DCPlusPlus-0.674.exe
2004-03-28 05:15 752,118 ----a-w C:\Programme\uleadphotoimpactxlv8.5trialdeutschpatchbidjan.zip
2004-03-28 05:15 43,907,891 ----a-w C:\Programme\ulead pixl_t_g fftp.exe
2004-03-26 21:01 913 ----a-w C:\Programme\INSTALL.LOG
2003-12-25 00:14 271,466 ----a-w C:\Programme\cd-client-4_8_0-en.exe
2003-12-24 16:23 1,897,672 ----a-w C:\Programme\winzip81.exe
2003-12-06 02:07 2,614,512 ----a-w C:\Programme\aimde51.exe
2003-12-06 01:11 2,592,044 ----a-w C:\Programme\trillian-v0.74f.exe
2003-10-21 19:00 1,905,072 ----a-w C:\Programme\icqlite_german.exe
2003-10-08 21:40 1,294,624 ----a-w C:\Programme\WindowsXP-KB823980-x86-DEU.exe
2003-10-08 21:25 4,184,576 ----a-w C:\Programme\avwinsfx.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{859D10F7-0E0F-43A8-8DF7-EC0466A40301}"= "C:\WINDOWS\dpevflbg.dll" [2008-04-21 13:48 184320]

[HKEY_CLASSES_ROOT\clsid\{859d10f7-0e0f-43a8-8df7-ec0466a40301}]
[HKEY_CLASSES_ROOT\dpevflbg.1]
[HKEY_CLASSES_ROOT\TypeLib\{486966C8-91EF-4511-B1E6-9140EF231857}]
[HKEY_CLASSES_ROOT\dpevflbg]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 15:27 176128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"q5JCgPwvfE"= C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"wdpoefan"= {375CBF9A-662A-43D7-9F6E-783D8DB44FD9} - C:\WINDOWS\wdpoefan.dll [2008-04-21 13:48 258048]
"vadokmxt"= {DFB5476F-AE45-4F45-BB39-7F0217946B80} - C:\WINDOWS\vadokmxt.dll [2008-04-21 13:48 221184]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ComPlusSetup]
C:\WINDOWS\System32\catsrvut.dll 2004-08-04 09:57 628224 C:\WINDOWS\system32\catsrvut.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iexplore]
eYrg4.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"VoipBuster"="C:\Programme\VoipBuster.com\VoipBuster\VoipBuster.exe" -nosplash -minimized
"InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"Prism_Utility"=Prismsta.exe
"InCD"=C:\Programme\Ahead\InCD\InCD.exe
"AOLDialer"=C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"Cmaudio"=RunDll32 cmicnfg.cpl,CMICtrlWnd
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe"
"PDFPrint"="C:\Programme\pdf24\PDFBackend.exe"
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
"spywarefighterguard"=C:\Programme\SPYWAREfighter\spftray.exe
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" -lang 1033
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe"
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"C:\\Programme\\AOL 9.0\\waol.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"C:\\WINDOWS\\system32\\CNAB4RPK.EXE"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:Peer Name Resolution-Protokoll (PNRP)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-15 01:43]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-15 01:43]
R1 prodrv03;Star Force copy protection driver v3;C:\WINDOWS\system32\drivers\prodrv03.sys [2005-07-07 05:49]
R1 vcdmpdrv;vcdmpdrv;C:\WINDOWS\system32\DRIVERS\vcdmpdrv.sys [2002-08-20 12:33]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 17:29]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 11:04]
R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\System32\Drivers\USBCRFT.SYS [2004-06-20 00:41]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 11:47]
R3 wbscr;Winbond Smartcard Reader for I/O;C:\WINDOWS\system32\drivers\wbscr.sys [2002-04-24 13:07]
S2 Ca533av;Cam 3200, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 17:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 17:41]
S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys []
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 16:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 10:31]
S3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 18:13]
S3 USBCamera;DSC Still Image Capture (CA100);C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-12-04 14:38]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.
Inhalt des "geplante Tasks" Ordners
"2008-04-04 15:19:32 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-03-10 09:37:13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 00:06:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\scardsvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DWRCS.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Virtual CD v4\System\VCDSecS.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\system32\DWRCST.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-06 0:13:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-05 22:13:43

23 Verzeichnis(se), 29,182,423,040 Bytes frei
25 Verzeichnis(se), 29,271,187,456 Bytes frei

273

____________________________________________________________________

Ich hoffe die Probleme lassen sich erfolgreich beheben

Vielen Dank und liebe Grüße

okay, ich habe schon letzte Woche zwei Spyware Programme gelöscht und weiß jetzt nicht, welches ich behalten soll, für Spydoktor habe ich ja Geld bezahlt, aber ich wäre auch bereit es zu löschen, falls entweder Ad-Aware oder Spybot Search&Destroy besser wäre. Was würdet ihr mir denn empfehlen draufzulassen? Oder brauche ich sogar ein ganz anderes? Virenscanner habe ich nur einen von Avira, sonst nichts.

Vielen Dank
bis heute Abend

Hi,
lade die beiden Dateien bitte mal bei virustotal hoch:

Zitat:

eYrg4.dll ->Diese Datei bitte suchen, vorher bitte alle Dateien sichtbar machen
C:\DOKUME~1\Toby\LOKALE~1\Temp\explorer32.exe

und poste das gesamte Ergebnis, sowie einen Link zum Ergebnis hier.

Hast du Windowsfirewall und die automatischen Updates deaktiviert?

bitte mit folgendem noch ein Log erstellen:
Smitfraudfix.
Dabei erstmal nur den Abschnitt "Suche" abarbeiten.

lg myrtille

Hallo,

so, da bin ich wieder, hab die Dateien erstmal kopiert.

Eine explorer32.exe hab ich nicht gefunden! Aber alle 3 anderen.

Hier die erste Datei bei Virustotal:

_______________________________________________________

Datei dpevflbg.dll empfangen 2008.05.06 23:11:57 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 17/31 (54.84%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 52 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.06 -
AntiVir 7.8.0.11 2008.05.06 ADSPY/AdSpy.Gen
Authentium 4.93.8 2008.05.06 -
Avast 4.8.1169.0 2008.05.06 Win32:Vapsup-CE
AVG 7.5.0.516 2008.05.06 Downloader.Zlob.SE
BitDefender 7.2 2008.05.06 -
CAT-QuickHeal 9.50 2008.05.06 -
ClamAV 0.92.1 2008.05.06 Trojan.Agent-21800
DrWeb 4.44.0.09170 2008.05.06 Trojan.Popuper.5480
eSafe 7.0.15.0 2008.05.06 -
eTrust-Vet 31.3.5763 2008.05.06 Win32/Pripecs!generic
Ewido 4.0 2008.05.06 -
F-Prot 4.4.2.54 2008.05.06 -
F-Secure 6.70.13260.0 2008.05.06 Trojan.Win32.Vapsup.ehj
Fortinet 3.14.0.0 2008.05.06 W32/Vapsup.EHJ!tr
Ikarus T3.1.1.26.0 2008.05.06 AdWare.NetAdware.CW
Kaspersky 7.0.0.125 2008.05.06 Trojan.Win32.Vapsup.ehj
McAfee 5289 2008.05.06 -
Microsoft 1.3408 2008.05.06 Adware:Win32/Vapsup
NOD32v2 3080 2008.05.06 -
Norman 5.80.02 2008.05.06 W32/Vapsup.gen3
Panda 9.0.0.4 2008.05.06 -
Prevx1 V2 2008.05.06 Malware Downloader
Rising 20.43.12.00 2008.05.06 -
Sophos 4.29.0 2008.05.06 -
Sunbelt 3.0.1097.0 2008.05.06 -
Symantec 10 2008.05.06 Downloader.Zlob!gen.2
TheHacker 6.2.92.300 2008.05.03 Trojan/Vapsup.ehj
VBA32 3.12.6.5 2008.05.06 Trojan.Win32.Vapsup.ehj
VirusBuster 4.3.26:9 2008.05.06 -
Webwasher-Gateway 6.6.2 2008.05.06 Ad-Spyware.AdSpy.Gen
weitere Informationen
File size: 184320 bytes
MD5...: 20579bdc1871ae32a7e369db99c552be
SHA1..: edf00f4e8f8b79e0f66ed283f772df431289b596
SHA256: bf5432be789860eb209fc844bf6369b59b1550984e8c22063970b2a3f698f753
SHA512: 2248e93c513e664a6c30ea94fd31379ac8c04d69b35b460c6ce1c81edd20bbee
979d5069ebfe9304233d37b2343623dacce90ebaa0ba4c1a9c907199236af6af
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10012149
timedatestamp.....: 0x480c7866 (Mon Apr 21 11:20:06 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1dda9 0x1e000 6.51 8b3c70cb888eca9c2da21876fdffce26
.rdata 0x1f000 0x6545 0x7000 4.86 4538fd4631f481554eaeaf8d4a093ed8
.data 0x26000 0x38a0 0x2000 3.64 c36fde7eb190c2d71e22a080c83cde0f
.rsrc 0x2a000 0x1d20 0x2000 4.32 4f4f71e2da7ee59508da025641015813
.reloc 0x2c000 0x2672 0x3000 4.29 6fbeb7b9238855f9ed2fd3018e78cd9f

( 6 imports )
> COMCTL32.dll: ImageList_SetBkColor, ImageList_ReplaceIcon, ImageList_Create, ImageList_Destroy
> KERNEL32.dll: GetLastError, RaiseException, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, lstrcmpiW, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, FlushInstructionCache, GetModuleHandleW, SetLastError, FlushFileBuffers, CloseHandle, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, lstrlenW, InterlockedIncrement, InitializeCriticalSection, DisableThreadLibraryCalls, GetModuleFileNameW, InterlockedDecrement, LoadLibraryW, GetProcAddress, GetCurrentProcess, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, InterlockedCompareExchange, HeapFree, GetProcessHeap, HeapAlloc, LoadLibraryA, IsProcessorFeaturePresent, VirtualFree, VirtualAlloc, GetVersionExA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, LocalFree, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, HeapReAlloc, GetCommandLineA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, WriteFile, GetStdHandle, GetModuleFileNameA, HeapDestroy, HeapCreate, ExitProcess, Sleep, HeapSize, SetHandleCount, GetFileType, GetStartupInfoA
> USER32.dll: SetWindowLongW, ShowWindow, GetClassInfoExW, UnregisterClassA, RegisterClassExW, CreateWindowExW, GetClientRect, CharNextW, CallWindowProcW, GetWindowLongW, LoadCursorW, GetSysColor, SendMessageW, IsWindow, DestroyWindow, DefWindowProcW
> ADVAPI32.dll: RegCreateKeyExW, RegDeleteValueW, RegDeleteKeyW, RegCloseKey, RegQueryInfoKeyW, RegEnumKeyExW, RegOpenKeyExW, RegSetValueExW
> ole32.dll: CoTaskMemRealloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=7B5EE797001A4E1BD0D00242066EB500F9A6BC5C

und hier die nächste Datei:
_________________________

Datei vadokmxt.dll empfangen 2008.05.06 23:23:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 15/31 (48.39%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.06 -
AntiVir 7.8.0.11 2008.05.06 ADSPY/AdSpy.Gen
Authentium 4.93.8 2008.05.06 -
Avast 4.8.1169.0 2008.05.06 Win32:Vapsup-BU
AVG 7.5.0.516 2008.05.06 -
BitDefender 7.2 2008.05.06 -
CAT-QuickHeal 9.50 2008.05.06 -
ClamAV 0.92.1 2008.05.06 Trojan.Agent-21798
DrWeb 4.44.0.09170 2008.05.06 -
eSafe 7.0.15.0 2008.05.06 -
eTrust-Vet 31.3.5762 2008.05.06 Win32/Pripecs!generic
Ewido 4.0 2008.05.06 -
F-Prot 4.4.2.54 2008.05.06 -
F-Secure 6.70.13260.0 2008.05.06 Trojan.Win32.Vapsup.ehj
Fortinet 3.14.0.0 2008.05.06 W32/ZLOB.AZH!tr
Ikarus T3.1.1.26 2008.05.06 Virus.Win32.Agent.LTS
Kaspersky 7.0.0.125 2008.05.06 Trojan.Win32.Vapsup.ehj
McAfee 5289 2008.05.06 -
Microsoft 1.3408 2008.05.06 -
NOD32v2 3080 2008.05.06 Win32/Adware.Vapsup
Norman 5.80.02 2008.05.06 -
Panda 9.0.0.4 2008.05.06 -
Prevx1 V2 2008.05.06 Malware Downloader
Rising 20.43.12.00 2008.05.06 Trojan.DL.Win32.QQHelper.bdp
Sophos 4.29.0 2008.05.06 -
Sunbelt 3.0.1097.0 2008.05.06 -
Symantec 10 2008.05.06 Downloader.Zlob!gen.2
TheHacker 6.2.92.300 2008.05.03 Trojan/Vapsup.ehj
VBA32 3.12.6.5 2008.05.06 Win32.Adware.Vapsup
VirusBuster 4.3.26:9 2008.05.06 -
Webwasher-Gateway 6.6.2 2008.05.06 Ad-Spyware.AdSpy.Gen
weitere Informationen
File size: 221184 bytes
MD5...: 3b5e097228033398215668e1cf907939
SHA1..: 6c1e17f0f72968a4f3f75ba5e97d1abbb6a016a8
SHA256: 5fc7bf6b233d517d37450ebe1da5aab8fd39c6a756df4d7b5143880cb53cdf34
SHA512: 93af621af3c1de798bcdc68bde23e79c412db24ffe574246103be129157f59dc
e3ee7eeaea88c62b6a170872100c671093baa029ddb6a7306c444716327d643f
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000da88
timedatestamp.....: 0x480c6862 (Mon Apr 21 10:11:46 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2efa6 0x2f000 6.38 116ef35ef7e786b0f0e5795b05c60109
.data 0x30000 0x2eac 0x2000 1.57 8a4853ca6e168b109f413f24c0555f28
.rsrc 0x33000 0x10 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.reloc 0x34000 0x24d0 0x3000 4.01 0f0c2c74cf7ae7317c9b6c75b651287d

( 4 imports )
> KERNEL32.dll: Sleep, GetLastError, CloseHandle, GetSystemTime, CreateEventW, WaitForSingleObject, MultiByteToWideChar, LoadLibraryW, SystemTimeToFileTime, GetFileAttributesW, CreateFileW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, CreateDirectoryW, WriteFile, SetFileTime, GetProcAddress, FindClose, SetFilePointer, FindFirstFileW, SetEndOfFile, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, HeapSize, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FlushFileBuffers, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, CreateFileA
> ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW
> ole32.dll: CoInitialize
> SHLWAPI.dll: SHDeleteKeyW

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F6FC56CF0039FDAB6022031A7E7E630084D8BBBF

hier die dritte Datei:
_______________________

Datei wdpoefan.dll empfangen 2008.05.06 23:32:35 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 15/31 (48.39%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 49 und 70 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.06 -
AntiVir 7.8.0.11 2008.05.06 ADSPY/Agent.PB
Authentium 4.93.8 2008.05.06 -
Avast 4.8.1169.0 2008.05.06 Win32:Agent-LTS
AVG 7.5.0.516 2008.05.06 -
BitDefender 7.2 2008.05.06 -
CAT-QuickHeal 9.50 2008.05.06 -
ClamAV 0.92.1 2008.05.06 -
DrWeb 4.44.0.09170 2008.05.06 Trojan.Popuper.5482
eSafe 7.0.15.0 2008.05.06 -
eTrust-Vet 31.3.5762 2008.05.06 -
Ewido 4.0 2008.05.06 -
F-Prot 4.4.2.54 2008.05.06 -
F-Secure 6.70.13260.0 2008.05.06 Trojan.Win32.Vapsup.ehj
Fortinet 3.14.0.0 2008.05.06 W32/ZLOB.AZR!tr
Ikarus T3.1.1.26 2008.05.06 Virus.Win32.Agent.LTS
Kaspersky 7.0.0.125 2008.05.06 Trojan.Win32.Vapsup.ehj
McAfee 5289 2008.05.06 -
Microsoft 1.3408 2008.05.06 Trojan:Win32/Zlob.AI
NOD32v2 3080 2008.05.06 -
Norman 5.80.02 2008.05.06 -
Panda 9.0.0.4 2008.05.06 -
Prevx1 V2 2008.05.06 Malware Downloader
Rising 20.43.12.00 2008.05.06 Trojan.Win32.Zlob.ajl
Sophos 4.29.0 2008.05.06 Vapsup
Sunbelt 3.0.1097.0 2008.05.06 -
Symantec 10 2008.05.06 Downloader.Zlob!gen.2
TheHacker 6.2.92.300 2008.05.03 Trojan/Vapsup.ehj
VBA32 3.12.6.5 2008.05.06 Trojan.Win32.Vapsup.ehj
VirusBuster 4.3.26:9 2008.05.06 -
Webwasher-Gateway 6.6.2 2008.05.06 Ad-Spyware.Agent.PB
weitere Informationen
File size: 258048 bytes
MD5...: a08747a96fbb11e30f994b599f2a6a37
SHA1..: c228fe1249a8b6d9d827ce6eda3a20b73ffeed8e
SHA256: 291bb79f61bdc304253962e48d0f8e727b0645549084f6ac26c70022bfabdd8f
SHA512: c1d0be6771465135d743cf556f557fc9760ea0f7b8e95933c3558dbddf5b8336
1b5112352c7493e36b7b13a1f03eced952b2f0dc77b0545789ee20910db08bee
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000faba
timedatestamp.....: 0x480c6f01 (Mon Apr 21 10:40:01 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x32a2c 0x33000 6.39 4453e0fd9be27a3c2f6a06e71c334dee
.data 0x34000 0x32c0 0x2000 2.59 b4c69a63b99560d041aaabdc29d8d6e0
.rsrc 0x38000 0x51e0 0x6000 4.10 53795bf5b0a0764d6cef511602afcaf6
.reloc 0x3e000 0x24d8 0x3000 4.11 73c321245da994d7195a2f2fa2b5f33e

( 5 imports )
> KERNEL32.dll: CreateDirectoryW, MoveFileW, WaitForSingleObject, Sleep, FindFirstFileW, FindClose, GetProcAddress, LoadLibraryW, GetLastError, MultiByteToWideChar, CloseHandle, SetFilePointer, SystemTimeToFileTime, GetFileAttributesW, ReadFile, GetCurrentDirectoryW, LocalFileTimeToFileTime, WideCharToMultiByte, SetFileTime, SetEndOfFile, WriteFile, CreateFileW, lstrcpynW, GetSystemTime, GetLocaleInfoA, FindNextFileW, FileTimeToSystemTime, FileTimeToLocalFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapFree, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, ExitProcess, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, GetConsoleCP, GetConsoleMode, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetTimeZoneInformation, HeapSize, CompareStringA, CompareStringW, SetEnvironmentVariableA, SetEnvironmentVariableW, LoadLibraryA, InitializeCriticalSection, SetStdHandle, FlushFileBuffers, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetStringTypeA, GetStringTypeW, CreateFileA
> USER32.dll: MessageBoxW, GetDesktopWindow, GetWindow
> ADVAPI32.dll: RegDeleteValueW, RegSetValueExW, RegQueryValueExW, RegCreateKeyExW
> ole32.dll: CoInitialize
> SHLWAPI.dll: SHDeleteKeyW

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=901D51B9003758D0F0F903BE5C58F700A9FBD8A1

okay, vielen Dank

dann werde ich die Datei so suchen und den Smitfraudexe drüberlaufen lassen. Bis morgen dann...