Hier meine Hijackthis-Log

Habe das Problem mit der sog. Freshbar. Habe ewido, CWShredderer, Spybot, Spy Substract, Anti Vir durchlaufen lassen. Ohne Erfolg, sie haben die verantwortlichen dateien nicht gefunden.

Wie im Log zu sehen ist, ist da bei R1 und O3 der verantwortlicher Eintrag. In der Registrierung findet sich auch ein Eintrag für die Freshbar (die andren hab ich gelöscht und kehren auch nicht wieder). Zudem ist in Windows\System32 die beiden Dateien: iecust.dll und iecust.exe. Wenn ich all dies lösche ist das problem weg. Sobald ich aber neustarte taucht es nach einer Weile wieder auf.

Achja wie ich ja wahrscheinlich nicht zu erwähnen brauche erscheinen bei mir regelmäßig Popup-fenster...

Logfile of HijackThis v1.98.2
Scan saved at 17:31:35, on 14.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\ewido\security suite\ewidoctrl.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\SpyKiller\spykiller.exe
E:\WINDOWS\System32\openconf.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\hijackthis\HijackThis.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpyKiller] E:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [BestPopUpKiller] E:\Programme\BestPopUpKiller\BestPopupKiller.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: SpySubtract.lnk = E:\Spy Substract\SpySub.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B581EBDD-9C2A-4F3E-A010-C638BBB96862}: NameServer = ***.***.***.***

Kann mir wer helfen?

Lösche dies im abg. Modus:

E:\WINDOWS\System32\iecust.dll




Fixe dies mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll


Sende die Datei E:\WINDOWS\System32\iecust.dll bitte vorher an partytime-germany.ice@web.de

Nein, das habe ich schon alles gemacht. (steht oben im post)
Habe es dann auch gestern geschafft, dass die Einträge

"R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll"

beide verschwinden... Ebenso die Dateien im Win32 Ordner. Und auch die Registry weist auch nach mehrer Neustarts keine mir bekannt gefährlichen Dateien auf. Jedoch ist das eigentlich problem nicht gelöst: Die nervigen Pop-Ups. Was ich bisher erreicht hab ist nur die Freshbar wirklich wegzubekommen. ich poste nochmal aktuellen Stand meines Log-Files:


Logfile of HijackThis v1.98.2
Scan saved at 18:01:16, on 15.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\logonui.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\ewido\security suite\ewidoctrl.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RunDll32.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\WINDOWS\System32\unlodctl.exe
E:\WINDOWS\System32\nlsfuncs.exe
E:\WINDOWS\System32\openconf.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: SpySubtract.lnk = E:\Spy Substract\SpySub.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B581EBDD-9C2A-4F3E-A010-C638BBB96862}: NameServer = 192.168.123.254

Wie man sieht, ist gut aufgeräumt, aber das Problem zum teil immer noch da...

Du hast dir zwischenzeitlich ja schon wieder was eingefangen:

E:\WINDOWS\System32\unlodctl.exe
E:\WINDOWS\System32\nlsfuncs.exe
E:\WINDOWS\System32\openconf.exe

checke diese Dateien hier: http://virusscan.jotti.org/de

wie kann das denn sein? ich war net großartig im Internet bis auf Fehlerlösungmöglichkeiten suchen...
Sind meine Firewall und meine tausend andren Blockertools umsonst?

Und zu den Dateien, die du angegeben hast. Die wurden zuletzt geändert 2001, also sind von anfang an da und ich denke deshalb net infiziert.

Irgendwie bin ich bald am verzweifeln. hab mich soviel infortmiert und mache schon vier Tage dran rum mit tausenden Tools und es hilft alles nix...

Logfile of HijackThis v1.98.2
Scan saved at 21:56:53, on 15.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\ewido\security suite\ewidoctrl.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\System32\RunDll32.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\WINDOWS\explorer.exe
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpyKiller] E:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [BestPopUpKiller] E:\Programme\BestPopUpKiller\BestPopupKiller.exe /startup
O4 - Global Startup: SpySubtract.lnk = E:\Spy Substract\SpySub.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103142192104
O17 - HKLM\System\CCS\Services\Tcpip\..\{B581EBDD-9C2A-4F3E-A010-C638BBB96862}: NameServer = 192.168.123.254

kann das jem. mal angucken?