Ich habe auf einem Notebook anscheinend einen Trojaner namens: "exsplorer".
An vielen Stellen sind Verknüpfungen auf diese Seite und beim Systemstart öffnen sich ständig der IE. (zum IE - ich weiß dass der nicht sehr sicher ist. es ist das notebook einer freundin und bisher wurde daran nichts geändert. aber firefox ist bereits installiert)
Windows XP Professional
Version 2002
ServicePack 2

Habe schon einige AntiViren- und sonstige Programme laufen lassen (Antivir. Spybot, Adaware), allerdings ohne Ergebnis.
Ein Freund sagte mir, dass dieses Programm irgendwo im system32 Ordner zu finden sei, allerdings unter anderem Namen. Habe im Netz schon nach Alias-Namen gesucht, aber leider konnte ich keinen der angegeben Namen bei mir finden.
Ich poste hier mal die Logfile aus dem HijackThis Programm. Vielleicht kann mir jemand weiterhelfen:

Logfile of HijackThis v1.99.1
Scan saved at 19:58:38, on 12.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
D:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\{8CBCFAD9-03E7-1031-0206-031125020031}\Update.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
D:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - _{A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
O2 - BHO: AssistantLibrary - {04CDB16C-AB38-43CD-A86A-6FEB90290939} - C:\Programme\PadsysAssistant\AssistantLibrary.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0D3CDC21-B6D9-4489-B397-6DB2A3D8AB3D} - C:\Programme\MSN\horemo.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {9B0C7A02-A17A-4C81-BD7D-30A622701C36} - C:\WINDOWS\system32\urqonnn.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {F2CB4F0A-8FCB-D919-9AF9-F1FA4BDD3CB6} - C:\WINDOWS\system32\ibwhb.dll
O2 - BHO: (no name) - {F3CB4F0A-8FCD-DB17-9AFC-F2FA4BD93CCC} - C:\WINDOWS\system32\ibwhb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\WLConfig.exe" -autostart
O4 - HKLM\..\Run: [nyc231a0] RUNDLL32.EXE w00917f4.dll,n 007231990000000500917f4
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://www.archiviosex.net
O15 - Trusted Zone: h**p://www.contentdiscount.info
O15 - Trusted Zone: h**p://www.extremeaccess.info
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O20 - Winlogon Notify: urqonnn - C:\WINDOWS\SYSTEM32\urqonnn.dll
O20 - Winlogon Notify: winluj32 - winluj32.dll (file missing)
O21 - SSODL: FvmnFYgi - {8CBCFADA-2616-5070-12B7-7AD48FF4803F} - C:\WINDOWS\system32\cfjs.dll (file missing)
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\smc.exe



Vielleicht muss ich noch dazusagen, dass ich von diesen Dingen nicht viel Ahnung habe und vielleicht irgendwas blödes übersehe aber trotzdem schonmal Danke in vorraus!!

mOIn

dein System ist reichlich verseucht u.a. sind bei dir verschiedene Trojaner am Werk, z.B. ein DNS Changer der deine I-Net anfragen über fremde Server leitet und als Höhepunkt einen Backdoortrojaner der dritten zugriff auf deinen Rechner ermöglicht.
Auch hast du einiges an Adware installiert und unbekannte Dateien (Vundo?) auf dem System.

In meinen Augen, ist dein System nicht mehr zu retten, daher folge dieser Anleitung

MFG

hi

danke für die schnelle antwort!!
hab auch schon von anderer seite gehört, dass das plattmachen des systems die beste möglichkeit ist. naja, denn mal los.
vielen dank


(p.s.: Vundo scheint ebenfalls ein trojaner zu sein...)

mOIn nochmal

Zitat:

p.s.: Vundo scheint ebenfalls ein trojaner zu sein...

Jupp, Vundo ist auch ein Trojaner, es gibt auch Removetool aber bei dir macht es leider die Masse der Schädlinge.

MFG

hallo,
rechner wurde platt gemacht und alles neu installiert.
Ich bedanke mich nochmal für die Hilfe.
Danke!!