Trojaner: OLEADM.dll

#1 Na super... da kommt man aus dem urlaub wieder und das erste was man auf dem PC sieht ist 'ne trojanerwarung von antivir(der PC war während der abwesenheit aus^^)...
es handelt sich um die datei OLEADM.dll
nach einigen weniger erfolgreichen versuchen das problem mit spybot oder
ad-aware zu beheben geht gar nichts mehr
abgesicherter modus geht nicht, da das menü sich trotz gedrückter F8 taste nicht öffnet, und wenn ihc normal starte hängt der PC sich nach ca 10sec auf, wegen mehreren viruswarnungen.
Hinzu kommt, das ich keine sicherheitskopie meiner festplatte besitze, somit kommt formaieren nicht in frage...
WAS SOLL ICH TUN???

#2 http://virus-protect.org/hijackthis.html
http://virus-protect.org/hjtkurz.html
Direct download
http://bilder.informationsarchiv.net/Nikitas_Tools/hijackthis/HijackThis.exe
__________
MfG Argus

#3 Logfile of HijackThis v1.99.0
Scan saved at 15:30:13, on 13.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
G:\Programme\Anti Vir\AVGUARD.EXE
G:\Programme\Anti Vir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
G:\Programme\Power DVD\PDVDServ.exe
G:\Programme\I Tunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
G:\Programme\Zone Alarm\zlclient.exe
G:\Programme\CloneCD\CloneCDTray.exe
G:\Programme\Demon\daemon.exe
G:\Programme\WinAmp\winampa.exe
C:\Programme\GoogleFilter\Core\Googlefilter.exe
G:\Programme\Anti Vir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
G:\PROGRA~1\WALLPA~1\WALLPA~1.EXE
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
G:\Programme\ScannerU\AM32.exe
C:\Programme\iPod\bin\iPodService.exe
G:\Programme\Trillian\trillian.exe
G:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\Tim\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wow.gamona.de/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\Programme\Spybot\SDHelper.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - g:\programme\ws ftp\wsbho2K0.dll
O2 - BHO: Erinnerungsassistent - {63983FD2-298E-40B0-A246-D32FD0C9CACD} - G:\Programme\Erinnerungsassistent\eaiext.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Accoona - {364B6276-C6C1-40B6-A6D7-6C48871FD707} - C:\PROGRA~1\Accoona\atoolbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "G:\Programme\Power DVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] G:\Programme\I Tunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] G:\Programme\Zone Alarm\zlclient.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\Programme\Demon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "G:\Programme\Clone DVD\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [WinampAgent] G:\Programme\WinAmp\winampa.exe
O4 - HKLM\..\Run: [Googlefilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKLM\..\Run: [AVGCtrl] "G:\Programme\Anti Vir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TickerMyMail] G:\Programme\Ticker my Mail\TickerMyMail.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [GoogleFilter] C:\Programme\GoogleFilter\Core\Googlefilter.exe /run
O4 - HKCU\..\Run: [Wallpaper4U] G:\PROGRA~1\WALLPA~1\WALLPA~1.EXE -w
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Startup: Trillian.lnk = ?
O4 - Global Startup: Action Manager 32.lnk = G:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = G:\Programme\Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - G:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: bei &eBay suchen... - file:\\G:\Programme\Erinnerungsassistent\eseek.html
O8 - Extra context menu item: Hervorheben - G:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Suchen - G:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - G:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - G:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Telefonbieten - {22A2519A-4093-4487-B932-313C969360DC} - G:\Programme\Erinnerungsassistent\eaiext.dll
O9 - Extra 'Tools' menuitem: per Telefon bieten... - {22A2519A-4093-4487-B932-313C969360DC} - G:\Programme\Erinnerungsassistent\eaiext.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - G:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - G:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Erinnerungsassistent - {5D739D65-9CDF-4783-AD0E-C2166615787F} - G:\Programme\Erinnerungsassistent\eaiext.dll
O9 - Extra 'Tools' menuitem: per SMS erinnern... - {5D739D65-9CDF-4783-AD0E-C2166615787F} - G:\Programme\Erinnerungsassistent\eaiext.dll
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay Deutschland - {C38AA9D7-640A-4e42-A1E8-F4F284A66592} - G:\Programme\Erinnerungsassistent\eaiext.dll
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .tga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin7.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - G:\Programme\Anti Vir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - G:\Programme\Anti Vir\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#4 Ok, was ich hier feststellen konnte:

New.Net ist auf Deinem PC. Das sollte sich in der Regel über Systemsteuerung -> Software deinstallieren lassen. Wenn nicht, dann nutze die Forensuche, denn das Thema wurde hier schon oft behandelt

Ansonsten ist da m.E. nichts schlimmes dabei. Bei folgenden bin ich mir net sicher:

Wallpaper4U
Acoona-Toolbar
RoboForm

In den abgesicherten Modus müsstest Du reinkommen können. Noch bevor der Windows-Ladebildschirm kommt, muss F8 gedrückt werden (ja, die Zeitspanne ist nicht sehr lang). Ich würde einfach ab dem Zeitpunkt, wo der PC seine Initialisierung vorgenommen hat, immer wieder schnell hintereinander die F8-Taste drücken (also nicht gedrückt halten) - das hat bei mir immer funktioniert.

Achso, zum Schluss:
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

Normalerweise ist das der Windows Migrationsdienst, also um fremdsprachige Internetseiten oder Dokumente (japanisch etc.) richtig darstellen zu lassen. Ich weiß net, ob Du das installiert hast (bspw. mit Office), aber hier könnte man ansetzen, um auf Virensuche zu gehen.

Was genau meldet denn Antivir? Die OLEADM.dll ist jedenfalls im HJT-Log nicht referenziert.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser