Tagchen,
ich hab ein problem mit Winadtools. Ich hab den program Files odner gelöscht, in der registry die einträge mit winadtools/winratchet (war inclusive ). hab schon Hilack durchlaufen lassen mit escan. Im abgesicherten modus ist alles in Ordnung,doch sobald ich normal starte ist alles wieder da. Mit msconfig komm ich auch nicht weiter. in der registry ist der Startmenüwert und ein Einzelner, welche beide immer wiederkehren. Lavasoft findet immer winad im Ordner F:\Program Files... aber ich hab den doch gelöscht.Es läuft ja kein Prozess mit winad,der jedenfalls so heißt,aber trotzdem würd ich winad gerne loswerden ohne mein System Neuaufsetzen zumüssen. Könnt ihr mir helfen?

Logfile of HijackThis v1.98.2
Scan saved at 17:59:55, on 30.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\FRITZ!DSL\Awatch.exe
F:\WINDOWS\system32\CTHELPER.EXE
F:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\FRITZ!DSL\FwebProt.exe
F:\Programme\T-DSL SpeedManager\SpeedMgr.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\0190 Warner\w0svc.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
F:\WINDOWS\system32\cisvc.exe
F:\WINDOWS\System32\CTsvcCDA.exe
F:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
F:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
F:\WINDOWS\system32\wdfmgr.exe
F:\WINDOWS\System32\MsPMSPSv.exe
F:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
F:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\Programme\0190 Warner\Warn0190.exe
F:\WINDOWS\system32\cidaemon.exe
F:\Programme\Logitech\iTouch\iTouch.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
F:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geizhals.at/deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.trendmicro.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://F:\Programme\WinSweep\ws.js
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - F:\Programme\GetRight\xx2gr.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - F:\PROGRA~1\ashampoo\ASHAMP~2\PopUp.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - F:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - F:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - F:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [AWatch] F:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AWMON] "F:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] F:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ccApp] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Corel Graphics Suite 1117] F:\Programme\Corel\Corel Graphics 11\Register\registration.exe /title="Corel Graphics Suite 11" /date=101705 serial=DR11CRD-0012082-DGW
O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [0190 Warner] F:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Logitech Utility] REM Logi_MwX.Exe
O4 - HKLM\..\Run: [Windows AdTools] F:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WINSWEEP] F:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Startup: FRITZ!webProtect.lnk = F:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: T-DSL SpeedManager.lnk = F:\Programme\T-DSL SpeedManager\SpeedMgr.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - F:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - F:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O10 - Unknown file in Winsock LSP: f:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: f:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: f:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: f:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: f:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15008/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FAB5698-F0D6-4879-BD04-B853BB94CDA8}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F5E8668-8880-4E8F-BA8A-5477436D3CDD}: NameServer = 192.168.122.252,192.168.122.253

Ich würde im abgesicherten Modus bei deaktivierter Systemwiederherstellung folgendes mit HJT fixen:
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Windows AdTools] F:\Program Files\Windows AdTools\WinAdTools.exe

Dann diese Datei manuell löschen:
F:\Program Files\Windows AdTools\WinAdTools.exe

Dann normal booten und Systemwiederherstellung wieder aktivieren.
Gehst Du über DSL oder ISDN/DSL ins Netz?

Übrigens: WinAdtools sollte auch so weggehen: Geh mal in die Systemsteuerung/Software (da wo alles steht was du installiert hast.) Suche das Windows ADTOOLS und lösche es.

P.S. Was hat denn der eScan gefunden?

Das ist ja das Problem. Ich hab den ordner mit winad ja gelöscht und program files. Wusst ja nicht,dass man spyware in der systemsteuerung löschen kann.
Lavasoft findet aber den ordner mit winad,obwohl ich den gelöscht habe.
geh mit dsl 2000 ins netz. Wollteste wegen online scanner fragen? Mit Escan hab ich nichts entdeckt,was auf winad schließen könnte. kanns ja jetzt nochmal durchlaufen lassen. Winad hat sich nach dem abgesicherten Modus einfach wieder reingeschrieben .

Hattest du die Systemwiederherstellung deaktiviert, und alles mit HJT gefixt?

Bitte geh mal auf "Suchen" und gib ein: lizenz.txt
Schau, ob du eine Datei diesen Namens drauf hast. Ist nur ne Vermutung...

Windows hat nichts gefunden. Warum wolltest du das denn wissen?

Dann wäre es was ganz übles gewesen.
Lade Dir mal bitte AdAware Se runter (mit Sprachdateien), update es und lass es laufen. Lösche alles was es findet und danach auch die Quarantäne-Datei.
Bin mir aber nicht sicher, ob das die Lösung ist.

Hab doch schon lavasoft ad-aware se 1.05 und updates. Wenn ich es lösche,schreibt winad sich wieder rein.

Sorry, hab ich im ersten post überlesen. Ich habe ein bißchen gegoogelt, würde Dich aber bitten, das auch noch zu tun, weil ich dazu jetzt nichts mehr sagen kann. Ich werde aber hier im Board nachfragen.

Hast Du die Systemwiederherstellung vor Deinen Löschaktionen deaktiviert?
Du hast mir auf diese Frage noch nicht geantwortet.

Ich kann mir nicht vorstellen, dass eScan im abgesicherten Modus nichts findet. Scanne nochmals mit aktualisierten eScan und poste danach die Virus Log Information.
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

btw:
Dies noch abarbeiten:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Nehm schon immer Microsoft updates. Escan hat nichts weltbewegendes gefunden. Gleich gelöscht.

Hab systemwiederherstellung deaktiviert.

Biite, sei so gut und mach, wie von cidre empfohlen und poste die escan Ergebnisse:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
Auch wenn du meinst, es war nix tragisches dabei.

Wollt die Datei hochladen, klappt aber nich.