hallo
brauche eure hilfe!!!!!
hab folgendes Problem und zwar: Trojanische Pferd TR/Dldr.ConHook.L
bekomm es mit hijack + antivir personaledition + adaware nicht gelöscht.
sitzt in der windows/system32 ordner mit namenmklj.dll
die datei ist gelogt und lässt sich nicht löschen.
würde mich freuen wenn ihr mir weiterhelfen könntet!!
vielen dank im vorraus!!!

Hallo,
poste doch erstmal das HijackThis Log.


Grüße Wildone

Logfile of HijackThis v1.99.1
Scan saved at 22:45:51, on 15.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\explorer.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\pmklj.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\vtsst.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Alles mit FlashGet laden - C:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\FlashGet\jc_link.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{234583F4-EBC8-4AB1-9B0A-6D6E9DC7BF6C}: NameServer = 217.237.149.161 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{234583F4-EBC8-4AB1-9B0A-6D6E9DC7BF6C}: NameServer = 217.237.149.161 217.237.150.97
O20 - Winlogon Notify: pmklj - C:\WINDOWS\SYSTEM32\pmklj.dll
O20 - Winlogon Notify: vtsst - C:\WINDOWS\System32\vtsst.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe (file missing)

Hallo,
gehe mal diese Anleitung durch und poste danach ein neues Log.


Grüße Wildone

die programme bringen mich leider nicht weiter, zum laufensie auch nicht

Hallo,
kommt eine Fehlermeldung o.ä.? Du hast es auch im abgesicherten Modus (F8 beim booten ) gemacht?


Grüße Wildone

@djice

#Lade de dir VundoFix.exe auf dem Desktop entpacken!

#PC neustarten--> abgesicherter Modus
Doppelklick auf VundoFix.exe,dann auf Install,danach wird ein Ordner VundoFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf KillVundo.bat

#Nun wird folgendes angezeigt:

Zitat:

VundoFix V2.15 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue....

#Dann drücke auf Enter

#Nun wird folgendes angezeigt:

Zitat:

Please Type in the filepath as instructed by the forum staff
and then press enter:

#Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\SYSTEM32\pmklj.dll

#Dann drücke auf Enter

#Nun wird folgendes angezeigt:

Zitat:

Please type in the second filepath as instructed by the forum
staff then press enter:

Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\SYSTEM32\jlkmp.*

#Dann drücke auf Enter

#Nun wird HijackThis geöffnet!
"Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\pmklj.dll
O20 - Winlogon Notify: pmklj - C:\WINDOWS\SYSTEM32\pmklj.dll

#schließe HijackThis,dann drücke auf Enter,wird PC neugestartet

#Wiederhole nochmal mit VundoFix.exe dieses mal:

Zitat:

Please Type in the filepath as instructed by the forum staff
and then press enter:

#Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\System32\vtsst.dll

Zitat:

Please type in the second filepath as instructed by the forum
staff then press enter:

Bitte so eingeben oder Reinkopieren:
C:\WINDOWS\System32\tsstv.*

#Dann drücke auf Enter

#Nun wird HijackThis geöffnet!
"Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\vtsst.dll
O20 - Winlogon Notify: vtsst - C:\WINDOWS\System32\vtsst.dll

#schließe HijackThis,dann drücke auf Enter,wird PC neugestartet

#Lade dir VirtumundoBegone & auf dem Desktop speichern.Bitte schliesse alle anderen Programme.
Doppelklicke auf VirtumundoBeGone.exe & Anweisungen folgen .
Achtung der Computer wird automatisch neustarten und mit einen Bluescreen Stop Error. Das ist normal.

#Neue HijackThis Log & den Inhalt der Datei VBG.txt, die Du auf dem Desktop findest.

Gruss
Expert

Hallo Ihr Lieben habe leider das gleiche Problem wie djice ;(
habe alles so gemacht wie es EXPERT erklärt hat leider findet avira antivir den Virus immernoch automatisch hier mein LOG File :

Logfile of HijackThis v1.99.1
Scan saved at 13:55:50, on 03.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS.2\System32\smss.exe
C:\WINDOWS.2\system32\winlogon.exe
C:\WINDOWS.2\system32\services.exe
C:\WINDOWS.2\system32\lsass.exe
C:\WINDOWS.2\system32\svchost.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS.2\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS.2\System32\nvsvc32.exe
C:\WINDOWS.2\system32\slserv.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS.2\sllights.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Program Files\HijackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [w018a227.dll] RUNDLL32.EXE w018a227.dll,I2 0006720d0018a227
O4 - HKLM\..\Run: [win3207719489557] C:\WINDOWS.2\win3207719489557.exe
O4 - HKLM\..\Run: [win3208194895577] C:\WINDOWS.2\win3208194895577.exe
O4 - HKLM\..\Run: [w0064076.dll] RUNDLL32.EXE w0064076.dll,I2 0006720d00064076
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [w0038629.dll] RUNDLL32.EXE w0038629.dll,I2 0006720d00038629
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe
O4 - HKCU\..\Run: [Sbbd] "C:\WINDOWS.2\DOBE~1\wucrtupd.exe" -vt ndrv
O4 - HKCU\..\Run: [Piuys] C:\Dokumente und Einstellungen\Holger.PRIVAT-AZP6E8DN\Anwendungsdaten\?ymbols\tracert.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS.2\System32\dmonwv.dll (file missing)
O9 - Extra 'Tools' menuitem: Java - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS.2\System32\dmonwv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B5FDE3B-8E2E-4844-9CC6-170FFF2AF662}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B5FDE3B-8E2E-4844-9CC6-170FFF2AF662}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS.2\system32\k4lqle351h.dll (file missing)
O20 - Winlogon Notify: winaxf32 - winaxf32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS.2\System32\hwclock.exe (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS.2\System32\ImapiRox.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS.2\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.2\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS.2\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS.2\SYSTEM32\slserv.exe
O23 - Service: Windows Overlay Components - Unknown owner - C:\WINDOWS.2\ohzkdtp.exe (file missing)
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS.2\system32\wincntrl.exe (file missing)

Das war der Log von 13.00

DANCH: der neue LOG wie beschrieben:

Logfile of HijackThis v1.99.1
Scan saved at 15:07:46, on 03.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS.2\System32\smss.exe
C:\WINDOWS.2\system32\winlogon.exe
C:\WINDOWS.2\system32\services.exe
C:\WINDOWS.2\system32\lsass.exe
C:\WINDOWS.2\system32\svchost.exe
C:\WINDOWS.2\System32\svchost.exe
C:\WINDOWS.2\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS.2\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS.2\System32\nvsvc32.exe
C:\WINDOWS.2\system32\slserv.exe
C:\WINDOWS.2\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS.2\explorer.exe
C:\Program Files\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [w018a227.dll] RUNDLL32.EXE w018a227.dll,I2 0006720d0018a227
O4 - HKLM\..\Run: [win3207719489557] C:\WINDOWS.2\win3207719489557.exe
O4 - HKLM\..\Run: [win3208194895577] C:\WINDOWS.2\win3208194895577.exe
O4 - HKLM\..\Run: [w0064076.dll] RUNDLL32.EXE w0064076.dll,I2 0006720d00064076
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [w0038629.dll] RUNDLL32.EXE w0038629.dll,I2 0006720d00038629
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [Sbbd] "C:\WINDOWS.2\DOBE~1\wucrtupd.exe" -vt ndrv
O4 - HKCU\..\Run: [Piuys] C:\Dokumente und Einstellungen\Holger.PRIVAT-AZP6E8DN\Anwendungsdaten\?ymbols\tracert.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS.2\System32\dmonwv.dll (file missing)
O9 - Extra 'Tools' menuitem: Java - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - C:\WINDOWS.2\System32\dmonwv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS.2\System32\hwclock.exe (file missing)
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS.2\System32\ImapiRox.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS.2\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.2\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS.2\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS.2\SYSTEM32\slserv.exe
O23 - Service: Windows Overlay Components - Unknown owner - C:\WINDOWS.2\ohzkdtp.exe (file missing)
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS.2\system32\wincntrl.exe (file missing)

Leider hat sich nichts ergeben auch nicht nachdem VirtumundoBegone durchlaufen ist hier mein VBG.TXT:

sorry der iss einfach zu lang meine problem datei ist die

[09/03/2006, 14:39:50] - Attempting to Deny Access to C:\WINDOWS.2\system32\jkhhh.dll

und die eigentliche mit dem Trojan :[09/03/2006, 14:41:56] - Attempting to Deny Access to C:\WINDOWS.2\System32\jkklk.dll

Hoffe mir kann geholfen werden ! VIELEN DANK

Sorry, falsche Abteilung