Bitte um Hilfe bei Problem
 

Also ich habe seit ungefaehr einer Woche Probleme mit meinem Laptop
Es tauchen immer wieder komische Prozesse wie zum Beispiel
iexpl0res.exe
msa.exe
msc32.exe
tftp
ftp
cmd
usw.
auf. Ich werde sie auch groesstenteils wieder los nur tauchen immer wieder solche Dateien auf. Einmal sind auch elitebar und 1stbar aufgetaucht.
Ich benutze die Programme ZoneAlarm Ad-Aware und AntiVir (wobei AntiVir bis jetzt noch nicht eine einzige Datei entdeckt hat) Wenn ich mit Ad-Aware Scanne findet es immer 3-4 Sachen (Darunter Alexa und Elitebar)
Allerdings habe ich schon 2 mal gesucht und auf einmal wurden 300-400 kritische Objekte angezeigt.
Danke im Voraus.

Edit: Ich habe vergessen zu schreiben das auch ein paarmal Popup Fenster dawaren mit den Seiten searchmiracle.com und irgendetwas wie TSG Clan
ausserdem hatte ich Registry Einträge von Counterstrike Source obwohl ich das Spiel nichtmal auf dem Laptop laufen habe (war als Prozess CSS.exe drin)



Hijackthis-Log :

Logfile of HijackThis v1.99.0
Scan saved at 16:50:05, on 22.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Kuschl0r\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\RunServices: [] iexpl0res.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF7A0A98-8162-493C-A27F-E647B3E3BB2E}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Ok hier sind die Ergebnisse:


Wed Dec 22 17:52:15 2004 => File C:\WINDOWS\System32\windupdates.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

Wed Dec 22 18:13:09 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZHIYDUB8\nublet[1].exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Wed Dec 22 18:21:20 2004 => File C:\WINDOWS\system32\windupdates.exe infected by "TrojanDownloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

Hast du wirklich im abgesicherten Modus gescannt?
Lösche die von eScan beanstandeten Dateien manuell.

Japp abgesicherter Modus seit ich da gescannt hab kommt alle 2 Minuten die folgende Meldung von Antivirus :


C:\PROGRAMME\OPERA\PROFILE\CACHE4\OPR0020B.HTML

Contains signature of the HTML script virus HTML/Exploit.Mhtml

hab natuerlich loeschen lassen, aber kommt immer wieder

Leere das Cache von Opera. http://www.java.com/de/download/help/webcache.jsp

So ich habe jetzt alles geloescht und finde auch mit Ad - Aware usw. nichts mehr. Allerdings ist in Hijackthis noch ein komischer Eintrag :

O17 - HKLM\System\CCS\Services\Tcpip\..\{EF7A0A98-8162-493C-A27F-E647B3E3BB2E}: NameServer = 217.237.151.225 217.237.150.225

Edit: achja danke schonmal Cidre du hast mir wirklich sehr geholfen :)

Das sind DNS Server der Telekom. Hier kannst du es selbst nachprüfen: http://www.iks-jena.de/cgi-bin/whois