Probleme mit "error cleaner" "privacy protector" "spyware&malware protection" die 2.

[Kopernikus82]

Hallo Leute,
leider hat mich jetzt auch so malware erwischt
jetzt habe ich 3 probleme:
1.
auf meinem desktop sind die oben erwähnten icons erschienen und der explorer ging die ganze zeit auf mit einer hp auf der ich sofort eine antivirussoftware herunterladen sollte. auch der bildschirm hintergrund war anders (blutrot und mit weisser schrift: your privacy is in danger (oder so).
jetzt hab ich aber die icons gelöscht und versucht wieder meinen alten desktophintergrund einzuschalten. dann war der hintergrund weiss. irgendwie konnte ich den weissen hintergrund dann wegmachen.

2.
leider habe ich in dem ersten anflug von panik, zur wiederherstellungs-cd gegriffen und habe versucht die xp-installation zu reparieren. das ging irgendwie etwas schief, weil jedesmal wenn der pc hochfährt, öffnet er das windows setup und frägt mich, ob ich die xp-installieren will, reparieren oder abbrechen.

und dann das dritte problem

das icon neben der startschaltfläche um den desktop anzuzeigen (ich hoff ihr wisst was ich meine), hat nicht mehr das gewohnte symbol.

wie kann ich all diese probleme lösen?
Ich bräuchte eine ziemlich ausführliche anleitung, da ich mich mit computern net so wirklich auskenne. es ist ein neuer rechner und ich habe sogar alle treiber da.
jetzt schon mal ein grosses dankeschön dafür, dass ihr bis hier gelesen habt.
ich hoff ihr könnt mir helfen.

[Speedy]

rechner ohne windows cd starten dabei f8 drücken --> auswahlmenü --> letzte funktionierende konfiguration wählen und starten

dann verwende bitte die aktuelle version von hijackthis und
installiere das programm in einem separaten ordner
unter programme, das sieht dann so aus
c:\programme\hijackthis\hijackthis.exe
starte das tool und lass dein system überprüfen,
poste das komplette logfile im forum
bitte beachten: jedes logfile separat im tag [code] posten.
das sieht vor dem speichern dann so aus
[CODE]
hier kommt dein logfile rein
[/CODE]

[Kopernikus82]

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09:35, on 14.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\abit\abit uGuru\AirPaceWifi.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: QXK Rhythm - {BA99F228-D9E2-47D5-9A8D-A295E8E52E93} - C:\WINDOWS\fvowketqplo.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: pvnsmfor - {5AC18EE0-E9B2-428D-844F-6D3EEA227215} - C:\WINDOWS\pvnsmfor.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AirPaceWifi] "C:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: mpfanvqg - {5C71D16E-850F-4876-8017-0608612FE8D5} - C:\WINDOWS\mpfanvqg.dll
O21 - SSODL: vbksrofa - {5BDAC423-2ED3-4F8E-A8A9-8133DA5CEDB1} - C:\WINDOWS\vbksrofa.dll
O21 - SSODL: JOmOMfVMr - {E43EDFB5-4E94-751F-6A60-EC7ABBB572AC} - C:\WINDOWS\system32\sle.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 6459 bytes

[Speedy]

diese datei(en) hier bei virustotal überprüfen lassen,
wenn das ergebnis vorliegt, den kleinen button "filter"
drücken, dann das ergebnis (egal wie es aussieht) kopieren
und hier posten. alternativ kannst du die datei bei
virscan, jotti oder auch bei überprüfen
(wie soll das logfile aussehen)

C:\WINDOWS\system32\sle.dll
C:\WINDOWS\vbksrofa.dll
C:\WINDOWS\mpfanvqg.dll
C:\WINDOWS\pvnsmfor.dll
C:\WINDOWS\fvowketqplo.dll


fixe mit HijackThis die nachfolgenden einträge, sofern sie noch vorhanden sind

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php...MjI6Ojg5&lid=2
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: QXK Rhythm - {BA99F228-D9E2-47D5-9A8D-A295E8E52E93} - C:\WINDOWS\fvowketqplo.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: pvnsmfor - {5AC18EE0-E9B2-428D-844F-6D3EEA227215} - C:\WINDOWS\pvnsmfor.dll
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

starte den rechner neu

[Kopernikus82]

Code:

Datei Informationen
    Dateiname : 	  vbksrofa.dll
    Größe : 	  212992 byte
    Typ : 	  MS-DOS executable (EXE), OS/2 or MS Windows
    MD5 : 	  45c8fea7908c150abf0fd73c565dfbbb
    SHA1 : 	  ea1bb72682841523657f78ec79bf3b8085524a34

Scan Ergebnis
    Scan Ergebnis : 	  31% der Scanner (11/36) haben Malware gefunden!
    Zeit : 	  2008/05/15 20:50:14 (CEST)
    Scanner ↓ 	Engine Ver 	Sig Ver 	Sig Datum 	Scan Ergebnis 	Zeit
    A-Squared 	3.5.0.18 	2008.05.15 	2008-05-15 	
    -
    	4.007
    AhnLab V3 	2008.05.16.00 	2008.05.16 	2008-05-16 	
    -
    	1.176
    AntiVir 	7.8.0.19 	7.0.4.46 	2008-05-15 	
    ADSPY/Agent.PB
    	2.772
    Arcavir 	1.0.4 	200805150120 	2008-05-15 	
    -
    	1.611
    Avast 	1.0.8 	080515-1 	2008-05-15 	
    Win32:Agent-LTS [Trj]
    	3.057
    AVG 	7.5.51.442 	269.23.16/1434 	2008-05-15 	
    Downloader.Adload.IB
    	2.264
    BitDefender 	7.60825.1192128 	7.19020 	2008-05-16 	
    -
    	4.335
    CA (VET) 	9.0.0.143 	31.4.5792 	2008-05-15 	
    Win32/Pripecs!generic trojan. 
    	7.744
    ClamAV 	0.93 	7130 	2008-05-16 	
    -
    	0.071
    Comodo 	2.11 	2.0.0.525 	2008-05-15 	
    -
    	1.997
    CP Secure 	1.1.0.715 	2008.05.15 	2008-05-15 	
    -
    	5.521
    Dr.Web 	4.44.0.9170 	2008.05.15 	2008-05-15 	
    -
    	4.984
    Ewido 	4.0.0.2 	2008.05.14 	2008-05-14 	
    -
    	3.028
    F-Prot 	4.4.1.52 	20080514 	2008-05-14 	
    -
    	1.602
    F-Secure 	5.51.6100 	2008.05.15.04 	2008-05-15 	
    Trojan.Win32.Vapsup.fcy [AVP]
    	0.057
    Fortinet 	2.81-3.11 	9.89 	2008-05-15 	
    -
    	2.123
    Ikarus 	T3.1.01.26 	2008.05.15.70754 	2008-05-15 	
    AdWare.Agent.PB
    	2.259
    JiangMin 	10.00.650 	2008.05.14 	2008-05-14 	
    -
    	1.497
    Kaspersky 	5.5.10 	2008.05.15 	2008-05-15 	
    Trojan.Win32.Vapsup.fcy
    	6.857
    KingSoft 	2008.1.14.15 	2008.5.15.10 	2008-05-15 	
    -
    	0.874
    McAfee 	5.2.00 	5296 	2008-05-15 	
    -
    	2.237
    Microsoft 	1.3520 	2008.05.15 	2008-05-15 	
    -
    	7.185
    mks_vir 	2.01 	2008.05.15 	2008-05-15 	
    -
    	2.796
    Norman 	5.92.06 	5.92.00 	2008-05-15 	
    -
    	5.862
    nProtect 	2008-05-14.00 	1456031 	2008-05-14 	
    -
    	5.514
    Panda 	9.04.03.0001 	2008.05.14 	2008-05-14 	
    -
    	2.906
    Prevx 	V2 	20080516 	2008-05-16 	
    TROJAN.PWDSTEALER.GEN
    	5.950
    Quick Heal 	9.00 	2008.05.15 	2008-05-15 	
    Trojan.Vapsup.esa
    	2.315
    Rising 	20.0 	20.44.32.00 	2008-05-15 	
    Trojan.Win32.Zlob.ajl
    	1.613
    Sophos 	2.73.0 	4.29 	2008-05-16 	
    -
    	3.687
    Symantec 	1.3.0.24 	20080514.035 	2008-05-14 	
    -
    	0.263
    The Hacker 	6.2.92 	v00311 	2008-05-15 	
    -
    	0.832
    Trend Micro 	8.500-1001 	5.278.06 	2008-05-15 	
    -
    	0.041
    VBA32 	3.12.6.6 	20080515.0737 	2008-05-15 	
    Downloader.Zlob.5 (suspicious)
    	1.605
    ViRobot 	20080515 	2008.05.15 	2008-05-15 	
    -
    	0.391
    VirusBuster 	4.3.19:9 	9.127.18/11.0 	2008-05-15 	
    -
    	1.279

[Kopernikus82]

Code:

Datei Informationen
    Dateiname : 	  mpfanvqg.dll
    Größe : 	  167936 byte
    Typ : 	  MS-DOS executable (EXE), OS/2 or MS Windows
    MD5 : 	  9e731779324e9e0b3b8159ba481cd8ba
    SHA1 : 	  d2f22a07b7f5eeb5a013a2907818d4923451fbe9

Scan Ergebnis
    Scan Ergebnis : 	  25% der Scanner (9/36) haben Malware gefunden!
    Zeit : 	  2008/05/15 20:52:17 (CEST)
    Scanner ↓ 	Engine Ver 	Sig Ver 	Sig Datum 	Scan Ergebnis 	Zeit
    A-Squared 	3.5.0.18 	2008.05.15 	2008-05-15 	
    -
    	5.211
    AhnLab V3 	2008.05.16.00 	2008.05.16 	2008-05-16 	
    -
    	4.274
    AntiVir 	7.8.0.19 	7.0.4.46 	2008-05-15 	
    ADSPY/AdSpy.Gen
    	2.844
    Arcavir 	1.0.4 	200805150120 	2008-05-15 	
    -
    	1.617
    Avast 	1.0.8 	080515-1 	2008-05-15 	
    Win32:Vapsup-FT [Adw]
    	3.047
    AVG 	7.5.51.442 	269.23.16/1434 	2008-05-15 	
    Downloader.Adload.IF
    	2.249
    BitDefender 	7.60825.1192128 	7.19020 	2008-05-16 	
    -
    	4.403
    CA (VET) 	9.0.0.143 	31.4.5792 	2008-05-15 	
    -
    	10.719
    ClamAV 	0.93 	7130 	2008-05-16 	
    -
    	0.058
    Comodo 	2.11 	2.0.0.525 	2008-05-15 	
    -
    	1.215
    CP Secure 	1.1.0.715 	2008.05.15 	2008-05-15 	
    -
    	5.401
    Dr.Web 	4.44.0.9170 	2008.05.15 	2008-05-15 	
    -
    	5.040
    Ewido 	4.0.0.2 	2008.05.14 	2008-05-14 	
    -
    	2.764
    F-Prot 	4.4.1.52 	20080514 	2008-05-14 	
    -
    	1.633
    F-Secure 	5.51.6100 	2008.05.15.04 	2008-05-15 	
    Trojan.Win32.Vapsup.fcy [AVP]
    	4.152
    Fortinet 	2.81-3.11 	9.89 	2008-05-15 	
    -
    	2.074
    Ikarus 	T3.1.01.26 	2008.05.15.70754 	2008-05-15 	
    Virus.Win32.Agent.LTS
    	2.245
    JiangMin 	10.00.650 	2008.05.14 	2008-05-14 	
    -
    	1.485
    Kaspersky 	5.5.10 	2008.05.15 	2008-05-15 	
    Trojan.Win32.Vapsup.fcy
    	6.631
    KingSoft 	2008.1.14.15 	2008.5.15.10 	2008-05-15 	
    -
    	1.451
    McAfee 	5.2.00 	5296 	2008-05-15 	
    -
    	2.236
    Microsoft 	1.3520 	2008.05.15 	2008-05-15 	
    -
    	7.482
    mks_vir 	2.01 	2008.05.15 	2008-05-15 	
    -
    	3.099
    Norman 	5.92.06 	5.92.00 	2008-05-15 	
    -
    	5.901
    nProtect 	2008-05-14.00 	1456031 	2008-05-14 	
    -
    	5.560
    Panda 	9.04.03.0001 	2008.05.14 	2008-05-14 	
    -
    	5.181
    Prevx 	V2 	20080516 	2008-05-16 	
    TROJAN.PWDSTEALER.GEN
    	3.146
    Quick Heal 	9.00 	2008.05.15 	2008-05-15 	
    -
    	3.939
    Rising 	20.0 	20.44.32.00 	2008-05-15 	
    Trojan.Win32.Zlob.ajl
    	1.593
    Sophos 	2.73.0 	4.29 	2008-05-16 	
    -
    	3.376
    Symantec 	1.3.0.24 	20080514.035 	2008-05-14 	
    -
    	0.195
    The Hacker 	6.2.92 	v00311 	2008-05-15 	
    -
    	0.831
    Trend Micro 	8.500-1001 	5.278.06 	2008-05-15 	
    -
    	0.042
    VBA32 	3.12.6.6 	20080515.0737 	2008-05-15 	
    Downloader.Zlob.5 (suspicious)
    	1.589
    ViRobot 	20080515 	2008.05.15 	2008-05-15 	
    -
    	0.377
    VirusBuster 	4.3.19:9 	9.127.18/11.0 	2008-05-15 	
    -
    	1.226

[Kopernikus82]

Code:

Datei fvowketqplo.dll empfangen 2008.05.15 21:23:44 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.5.10.0	2008.05.13	-
AntiVir	7.8.0.17	2008.05.13	ADSPY/Vapsup.egm
Authentium	5.1.0.4	2008.05.14	-
Avast	4.8.1169.0	2008.05.12	Win32:Vapsup-EB
AVG	7.5.0.516	2008.05.13	Downloader.Adload.ID
BitDefender	7.2	2008.05.08	-
CAT-QuickHeal	9.50	2008.05.12	-
ClamAV	0.92.1	2008.05.13	-
DrWeb	4.44.0.09170	2008.05.13	-
eSafe	7.0.15.0	2008.05.12	-
eTrust-Vet	31.4.5784	2008.05.13	Win32/Pripecs!generic
Ewido	4.0	2008.05.13	-
F-Prot	4.4.2.54	2008.05.13	W32/Adware-RegBHO-based.1!Maximus
F-Secure	6.70.13260.0	2008.05.13	-
Fortinet	3.14.0.0	2008.05.13	-
GData	2.0.7306.1023	2008.05.14	Win32:Vapsup-EB
Ikarus	T3.1.1.26.0	2008.05.13	Trojan.BHO.Agent.221184
Kaspersky	7.0.0.125	2008.05.13	-
McAfee	5293	2008.05.12	-
Microsoft	1.3408	2008.05.13	Trojan:Win32/Zlob.gen!H
NOD32v2	3095	2008.05.13	-
Norman	5.80.02	2008.05.09	-
Panda	9.0.0.4	2008.05.12	-
Prevx1	V2	2008.05.15	Malware Downloader
Rising	20.44.12.00	2008.05.13	Trojan.Clicker.Win32.Agent.ypq
Sophos	4.29.0	2008.05.13	Mal/Emogen-AC
Sunbelt	3.0.1114.0	2008.05.12	-
Symantec	10	2008.05.13	-
TheHacker	6.2.92.309	2008.05.13	-
VBA32	3.12.6.6	2008.05.13	suspected of Downloader.Zlob.8
VirusBuster	4.3.26:9	2008.05.12	-
Webwasher-Gateway	6.6.2	2008.05.13	Ad-Spyware.Vapsup.egm
weitere Informationen
File size: 217088 bytes
MD5...: 6114f834344007bba15c43421e5e8bb0
SHA1..: 9cbea9f85b0b0f58ef5f925bee3115c1c4f19be5
SHA256: ffc2c4e46bf0be71ed0f68bef5bbbc0c744943fa90b81ed1bd67583e002b2343
SHA512: 4b8253ac6ec777523c0e659912829a5d53900beccfe26871adfa304dedddf5a7<br>649c90af479ea009bcad5d5706eb516a8617d7c7f56b0ff96c45789393b132c1
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x100126dc<br>timedatestamp.....: 0x482856f6 (Mon May 12 14:40:54 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x2394b 0x24000 6.60 f190e3f3dfa8e493334143b270dbc5b5<br>.rdata 0x25000 0x9943 0xa000 5.02 78ed2ede7e8d275f6072cd20bcf04bc4<br>.data 0x2f000 0x397c 0x2000 3.90 d1507f26fb128a06932cab80f862f94b<br>.rsrc 0x33000 0xaf8 0x1000 3.34 0067925bad763bfd95f7d7f1a677bf68<br>.reloc 0x34000 0x2cc0 0x3000 4.81 5f1ce964c67fef0d052f529e7720d72f<br><br>( 6 imports ) <br>&gt; KERNEL32.dll: CreateFileW, SetFilePointer, WriteFile, InterlockedIncrement, InterlockedDecrement, FreeLibrary, lstrcmpiW, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, DisableThreadLibraryCalls, Sleep, RaiseException, GetLastError, EnterCriticalSection, InitializeCriticalSection, DeleteCriticalSection, LeaveCriticalSection, GetProcAddress, LoadLibraryW, CreateFileA, SetEndOfFile, CreateThread, CloseHandle, ResetEvent, WaitForSingleObject, OpenEventW, LocalAlloc, lstrlenW, FormatMessageW, GetModuleFileNameW, LocalFree, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, ReadFile, FlushFileBuffers, SetStdHandle, GetStringTypeW, GetStringTypeA, LoadLibraryA, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapReAlloc, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetModuleHandleA, GetSystemInfo, VirtualQuery, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, RtlUnwind, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP, GetConsoleMode<br>&gt; USER32.dll: UnregisterClassA, MessageBoxW, CharNextW<br>&gt; ADVAPI32.dll: RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegDeleteKeyW, RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, RegEnumKeyExW, RegQueryValueExW<br>&gt; ole32.dll: CoTaskMemRealloc, CoTaskMemAlloc, StringFromGUID2, CoCreateInstance, CoTaskMemFree<br>&gt; OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -<br>&gt; SHLWAPI.dll: StrToIntW<br><br>( 4 exports ) <br>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=FD81C1A8007C8BC150E603973D769900F81933F5

[Kopernikus82]

Code:

Datei pvnsmfor.dll empfangen 2008.05.15 21:30:44 (CET)
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.5.15.0	2008.05.15	-
AntiVir	7.8.0.17	2008.05.15	ADSPY/AdSpy.Gen
Authentium	5.1.0.4	2008.05.15	-
Avast	4.8.1195.0	2008.05.14	Win32:Vapsup-CS
AVG	7.5.0.516	2008.05.15	Downloader.Zlob.SE
BitDefender	7.2	2008.05.15	-
CAT-QuickHeal	9.50	2008.05.15	Trojan.Vapsup.elz
ClamAV	0.92.1	2008.05.15	-
DrWeb	4.44.0.09170	2008.05.15	-
eSafe	7.0.15.0	2008.05.14	-
eTrust-Vet	31.4.5788	2008.05.14	-
Ewido	4.0	2008.05.14	-
F-Prot	4.4.2.54	2008.05.15	-
F-Secure	6.70.13260.0	2008.05.15	Trojan.Win32.Vapsup.fcy
Fortinet	3.14.0.0	2008.05.15	-
GData	2.0.7306.1023	2008.05.15	Trojan.Win32.Vapsup.fcy
Ikarus	T3.1.1.26.0	2008.05.15	AdWare.NetAdware.CW
Kaspersky	7.0.0.125	2008.05.15	Trojan.Win32.Vapsup.fcy
McAfee	5295	2008.05.14	-
Microsoft	1.3408	2008.05.13	-
NOD32v2	3102	2008.05.15	-
Norman	5.80.02	2008.05.14	-
Panda	9.0.0.4	2008.05.14	-
Prevx1	V2	2008.05.15	Malware Downloader
Rising	20.44.32.00	2008.05.15	-
Sophos	4.29.0	2008.05.15	Vapsup
Sunbelt	3.0.1114.0	2008.05.12	-
Symantec	10	2008.05.15	-
TheHacker	6.2.92.311	2008.05.15	-
VBA32	3.12.6.6	2008.05.15	-
VirusBuster	4.3.26:9	2008.05.15	-
Webwasher-Gateway	6.6.2	2008.05.15	Ad-Spyware.AdSpy.Gen
weitere Informationen
File size: 151552 bytes
MD5...: 201dc76471cd227c5b90843a426428a2
SHA1..: 31b038ecba3c1bc64b79861195b8f2e6a0d213a3
SHA256: cf9a4880b0d9c178afdb80ba88b3d68f9951b9651e20f064b1a358bba42f741c
SHA512: f07f665b9f837981d7aa44554395202544c2bfc3f38221b2639bfe95a3bbda46<br>eec42c1cd65c4481190d21875a2f85734ab2b30c89e78e71ec9b7498572f7fb8
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1000a8f1<br>timedatestamp.....: 0x4828588d (Mon May 12 14:47:41 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x15ee5 0x16000 6.71 df8fcd886e6340f9bd73b2d3f9274dbf<br>.rdata 0x17000 0x6355 0x7000 4.91 eb1e87f5ec4a6a7049bf5305719c84ed<br>.data 0x1e000 0x3860 0x2000 3.64 8af5026516920e9116409fc3e8cb4edc<br>.rsrc 0x22000 0x1d20 0x2000 4.32 9262afb7e8a4ba61cc11abad23cd56b5<br>.reloc 0x24000 0x23bc 0x3000 3.91 380db2e6ca5e871bb3b32916d494e81a<br><br>( 6 imports ) <br>&gt; COMCTL32.dll: ImageList_SetBkColor, ImageList_Destroy, ImageList_Create, ImageList_ReplaceIcon<br>&gt; KERNEL32.dll: GetLastError, lstrcmpiW, GetModuleFileNameW, InterlockedIncrement, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, GetModuleHandleW, DisableThreadLibraryCalls, FlushInstructionCache, GetCurrentProcess, DeleteCriticalSection, SetLastError, FlushFileBuffers, CloseHandle, CreateFileA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, InitializeCriticalSection, LeaveCriticalSection, EnterCriticalSection, RaiseException, lstrlenW, InterlockedDecrement, LoadLibraryW, GetProcAddress, GetCurrentThreadId, GetStringTypeW, GetStringTypeA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetVersionExA, InterlockedCompareExchange, HeapFree, GetProcessHeap, HeapAlloc, LoadLibraryA, IsProcessorFeaturePresent, VirtualFree, VirtualAlloc, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, LocalFree, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, HeapReAlloc, GetCommandLineA, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, HeapDestroy, HeapCreate, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, Sleep, HeapSize, SetHandleCount, GetFileType, GetStartupInfoA<br>&gt; USER32.dll: GetWindowLongW, ShowWindow, CreateWindowExW, UnregisterClassA, LoadCursorW, GetClassInfoExW, GetClientRect, CharNextW, GetSysColor, CallWindowProcW, RegisterClassExW, SetWindowLongW, DefWindowProcW, DestroyWindow, IsWindow, SendMessageW<br>&gt; ADVAPI32.dll: RegDeleteValueW, RegCloseKey, RegCreateKeyExW, RegOpenKeyExW, RegEnumKeyExW, RegQueryInfoKeyW, RegSetValueExW, RegDeleteKeyW<br>&gt; ole32.dll: CoTaskMemFree, CoCreateInstance, StringFromGUID2, CoTaskMemAlloc, CoTaskMemRealloc<br>&gt; OLEAUT32.dll: -, -, -, -, -, -, -, -, -<br><br>( 4 exports ) <br>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer<br>
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=2709E1F100FABFD950AF02106E28A9003A6F1143

[Speedy]

• lege folgenden ordner an c:\programme\regsrch
• download von regsrch-zip in den ordner c:\programme\regsrch
• entpacke das programm in diesen ordner.
• starte regsrch.vbs und gib als suchstring "sle.dll " ein (ohne die anführungszeichen).
• der scan beginnt und wenn dieser beendet ist, wird ein editorfenster geöffnet
  a) keine funde -> rückmeldung
  b) es wurde etwas gefunden, dann den inhalt des textfiles hier posten
• wiederhole das mit diesem text "vbksrofa "
• wiederhole das mit diesem text " mpfanvqg"
• wiederhole das mit diesem text " pvnsmfor"
• wiederhole das mit diesem text " fvowketqplo "

[Kopernikus82]

Hallo, und danke erstmal für deine Hilfe!
Ich habe versucht die sle.dll Datei auf virustotal und virscan zu überprüfen, aber ich kann sie nicht hochladen.
Ich habe die Einträge in hijackthis gefixt und meinen Rechner neu gestartet, aber bis jetzt hat sich noch nichts verändert. Hier das neue Logfile.
Ist das normal?

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:53:30, on 15.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\abit\abit uGuru\AirPaceWifi.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AirPaceWifi] "C:\Programme\abit\abit uGuru\AirPaceWifi.exe" -nogui
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: mpfanvqg - {5C71D16E-850F-4876-8017-0608612FE8D5} - C:\WINDOWS\mpfanvqg.dll
O21 - SSODL: vbksrofa - {5BDAC423-2ED3-4F8E-A8A9-8133DA5CEDB1} - C:\WINDOWS\vbksrofa.dll
O21 - SSODL: JOmOMfVMr - {E43EDFB5-4E94-751F-6A60-EC7ABBB572AC} - C:\WINDOWS\system32\sle.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 6272 bytes