Lade Dir Spybot-S&D und Ad-Aware und update beide Programme.Boote in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und scanne nacheinander mit Spybot und Ad-aware und lösche was gefunden wurden.
Ansosten hat Chris14 schon seinen Teil erwähnt.
Boote danach neu und poste ein aktuelles HJT

so hier nun die logfile von hijack
Logfile of HijackThis v1.99.1
Scan saved at 23:05:55, on 22.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUpKiller.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\ALLENS~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://security.kolla.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ish.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ish
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~3.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.2\THGuard.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUpKiller.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - C:\Programme\Preispiraten\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Preispiraten\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.ish.com
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@ Schwedin

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.

Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe



C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
lasse mal die Datei hier scannen und teile das Ergebnis mit,

Diese Einträge solltest du noch fixen :

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispirat en2ie.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

das sollte noch gelöscht werden
C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

diesen Eintrag kenne ich nicht, wenn er dir auch nicht bekannt ist solltest du in auch fixen und die Datei/Ordner löschen

O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.2\THGuard.exe"

sonst sehe ich keine Auffälligkeiten mehr. Hoffe dein Problem ist damit gelöst

hallo
habe alles gemacht wie gesagt.
wenn ich jedoch den spybot scannen lasse zeigt er mir das Problem
"log" an in dem verzeichnis finde ich dann eine datei mit dem
namen uinst001 die ich nicht löschen kann sowie
schedlgutxt und unvise32qt
was ist das????? ist der pc total verseucht???????????

@schwedin

C:\WINDOWS\unvise32qt.exe <- uninstaller von quicktime
C:\WINDOWS\System32\QuickTime\Uninstall.log <- file und registry einträge, die beim installieren erstellt worden sind und beim deinstallieren gelöscht werden müssen.
beide dateien müssen für einen deinstallation vorhanden sein.
der deinstallationsstring lautet:
C:\WINDOWS\unvise32qt.exe C:\WINDOWS\System32\QuickTime\Uninstall.log

btw: dein ? bleibt hängen

chaosman

Zitat:

Zitat von Schwedin

was ist das????? ist der pc total verseucht???????????

was das ist kann ich dir so auch nicht sagen, wenn du die Dateien nicht löschen kannst sind sie vielleicht schreibgeschützt, oder werden von einem anderen Programm verwendet. Versuch es im abgesicherten Modus. Was meldet eigentlich Spybot oder Ad-aware zu diesen Dateien?
Dein PC ist IMHO nach dem letzten Log nicht mehr sehr stark belastet

BTW: was ist eigentlich mit dem Ergebnis?

Zitat:

Zitat von Gigamail

C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
lasse mal die Datei hier scannen und teile das Ergebnis mit,

die datei die ich geprüft habe war ok.
spyware sagt das ich keine spione habe. zeigt mir jedoch probleme
an. ich setze die ergebnisse mal hier rein bis gleich

das sagt ad aware

MRU LIST
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name
obj[1]=MRU RegReference : S-1-5-21-790525478-842925246-1343024091-1003\software\microsoft\search assistant\acmru\5603
obj[3]=MRU RegReference : S-1-5-21-790525478-842925246-1343024091-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru\*
obj[5]=MRU RegReference : .DEFAULT\software\microsoft\windows media\wmsdk\general computername
obj[6]=MRU RegReference : S-1-5-18\software\microsoft\windows media\wmsdk\general computername
obj[7]=MRU RegReference : S-1-5-21-790525478-842925246-1343024091-1003\software\microsoft\windows media\wmsdk\general computername

das sagt spybot
Log: Activity: SchedLgU.Txt (Datei sichern, fixing failed)
C:\WINDOWS\SchedLgU.Txt

Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, fixed)
C:\WINDOWS\System32\wbem\logs\wbemess.log

MS Media Player: Anonymous ID (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

MS Search Assistant: Typed search terms history (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Search Assistant\ACMru

Windows Explorer: User Assistant history IE (4 Dateien) (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files (10 Dateien) (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history (2 Dateien) (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Gratulation!: Es wurden keine Spione gefunden. ()



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-07-19 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2005-04-26 Includes\Cookies.sbi (*)
2005-08-19 Includes\Dialer.sbi (*)
2005-08-19 Includes\Hijackers.sbi (*)
2005-08-16 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2005-08-19 Includes\Malware.sbi (*)
2005-08-12 Includes\PUPS.sbi (*)
2005-04-27 Includes\Revision.sbi (*)
2005-08-19 Includes\Security.sbi (*)
2005-08-16 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2005-08-19 Includes\Trojans.sbi (*)

antwortet doch mal bitte

Hallo,
also im großen und ganzen kann ich eigentlich nichts mehr wirklich schädliches auf deinem System erkennen, falls du das noch nicht gemacht hast, solltest du in den abgesicherten Modus gehen und die von Escan angezeigten Dateien löschen(vorher im Explorer unter Techtsklick auf Arbeitsplatz>>Eigenschaften die Systemwiederherstellung abschalten(danach wieder einschalten!) :
File C:\WINDOWS\system32\file.exe
C:\WINDOWS\system32\fadcbav.dll
C:\WINDOWS\system32\gtwgihz.dll
C:\WINDOWS\system32\fadcbav.dll
C:\WINDOWS\system32\gtwgihz.dll
C:\WINDOWS\system32\fadcbav.dll
C:\WINDOWS\system32\gtwgihz.dll

Ansonsten könntest du mal noch dein System aufräumen z.B. mit cleanup! und die Registry entrümpeln(Benutzung auf eigene Gefahr) z.B. mit Regseeker.
Die Einträge, die Spybot und Adaware anzeigen sind aber imo harmlos.


Grüße Wildone