Trojaner "exsplorer" - hartnäckig und nervig

#0
28.12.2006, 15:35
Member

Beiträge: 14
#1 Hallo liebe Supporter, ich habe mir glaube ich (soweit ich es richtig recherchiert habe) einen Trojaner mit namen "exsplorer" eingefangen, der mich zum Wahnsinn treibt, da ich ihn nicht wieder los werde. Er setzt sich immer wieder in den Favoritwen, Programmen, auf dem Destop, unter eigenen Dateien und im Startmenue fest. Ständiges Löschen hilft nix, da wahrscheinlich irgendwo im System ein mieses kleines Ding sitzt, dass immer wieder alles von neuem startet.
Kennt jemand von euch diesen Trojaner, Wurm etc und kann mir evtl. weiterhelfen. ich wäre euch sehr dankbar. Gerne würde ich meinen Rechner auch vor zukünftigen Angriffen schützen. Kann mir jemand eine Empfehlung z.B. für eine Firewall geben, oder was schalgt ihr vor.

Ich habe hier mal mein Logfile angehängt. Vielen Dank schon mal im voraus.
Gruß

bent

Logfile of HijackThis v1.99.1
Scan saved at 15:04:05, on 28.12.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SYSMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\9129837.EXE
C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\TEMP\2698E49C.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.muenster.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NAV DefAlert] F:\NORTON~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] F:\NORTON~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] F:\Norton SystemWorks\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [639635680] C:\WINDOWS\TEMP\2698E49C.EXE delete
O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: http://www.contentdiscount.info
O15 - Trusted Zone: http://www.extremeaccess.info
O15 - Trusted Zone: http://www.archiviosex.net
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O21 - SSODL: otTYrGJZFVBq - {262010E1-8C8A-BA4B-9345-9A925CA60B42} - C:\WINDOWS\SYSTEM\MKCGU.DLL
Seitenanfang Seitenende
28.12.2006, 23:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Bent

loesche mit der Killbox
http://virus-protect.org/killbox.html

C:\WINDOWS\TEMP\2698E49C.EXE
C:\WINDOWS\9129837.exe
C:\WINDOWS\SYSTEM\MKCGU.DLL

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL

O4 - HKLM\..\RunOnce: [639635680] C:\WINDOWS\TEMP\2698E49C.EXE delete

O4 - HKLM\..\Run: [Systems] C:\WINDOWS\SYSTEM\sysmon.exe

O4 - HKCU\..\Run: [ttool] C:\WINDOWS\9129837.exe

O15 - Trusted Zone: http://www.contentdiscount.info
O15 - Trusted Zone: http://www.extremeaccess.info
O15 - Trusted Zone: http://www.archiviosex.net

O21 - SSODL: otTYrGJZFVBq - {262010E1-8C8A-BA4B-9345-9A925CA60B42} - C:\WINDOWS\SYSTEM\MKCGU.DLL
PC neustarten

««
scanne mit Panda oder irgendeinem scanner, der auf win98 reagiert und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.12.2006, 18:40
Member

Themenstarter

Beiträge: 14
#3 Hallo Sabina,
Danke für die prompte Hilfe und die Hinweise.
Ich habe es versucht so zu machen, wie DU /Sie geschrieben hast/haben.
Weiß aber nicht, ob mir alles gelungen ist. Ich habe festgestellt, dass sich diese Dateien nicht löschen lassen mit hijaxkthis und fixen, sie tauchen immer wieder auf.
Ich habe dann mal mit bitdefender gescannt, die infizierten Dateien wurden wohl gelöscht. Nach dem Neustart taucht der verflixte exsplorer aber immer noch im Startmenue und auf dem Destop etc auf. und das Log im Anhang beigefügt. Es schien mir zu lang, um es direkt in die Antwort einzufügen.

Danke

bent

Seitenanfang Seitenende
29.12.2006, 23:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 mit einem backdoor ist nicht zu spassen:
Backdoor.Padodor.G1
ich empfehle dir, das system neu aufzusetzen, sprich: formatieren ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.01.2007, 01:37
Member

Themenstarter

Beiträge: 14
#5 Hallo Sabina,
ich habe bitdefender installiert. Er hat beim Scannen die beiden Trojaner gefunden und ich habe sie löschen können. Ich hoffe sie sind auch wirklich verschwunden, bis jetzt sieht es gut aus, der exsplorer taucht zumindest nicht mehr auf und der Rechner läßt sich auch wieder korrekt runterfahren.
Deshalb habe ich auf eine Neuaufsetzung des Systems bislang verzichtet.
Vielen Dank nochmal für den Support, war mir eine sehr große Hilfe.
Gruß

Bent
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: