| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TR/Dldr.ConHook.LWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.02.2006, 19:05
| #1 |
| |  TR/Dldr.ConHook.L Tach zusammen kann mir wer bei diesem Trojaner weiterhelfen? TR/Dldr.ConHook.L Anti Vir PE 7 scheitert an ihm... |
|
02.02.2006, 19:09
| #2 |
| > MalwareDB   | TR/Dldr.ConHook.L Hallo,
__________________poste uns ein Hijack This Logfile, in meiner Anleitung ein Link. Gruß Schrulli
__________________ Geändert von Schrulli (02.02.2006 um 19:24 Uhr) |
|
02.02.2006, 19:16
| #3 |
| | TR/Dldr.ConHook.L Und bitte...
__________________Logfile of HijackThis v1.99.1 Scan saved at 19:19:25, on 02.02.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Lexmark X5100 Series\lxbabmgr.exe C:\WINDOWS\System32\oleupdate.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Lexmark X5100 Series\lxbabmon.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\ObjectDock\ObjectDock.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\DIMITRI\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\iiihf.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [Win Update] C:\WINDOWS\System32\oleupdate.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [ITD65_ITD] "C:\Programme\Steganos Trace Destructor 6.5\itd.exe" /booting O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\ObjectDock\ObjectDock.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: iiihf - C:\WINDOWS\SYSTEM32\iiihf.dll O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\enjul1191.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: ILT - Unknown owner - C:\WINDOWS\ilt.exe (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe (file missing) O23 - Service: Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
|
02.02.2006, 19:17
| #4 |
| | TR/Dldr.ConHook.L Ergänzend könntest Du den Bericht von AntiVir zu dem Fund posten.
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
|
02.02.2006, 19:23
| #5 |
| | TR/Dldr.ConHook.L Unter "Berichte" hab ich nur die Einträge "Update nicht erfolgreich". Hab das Programm eben erst installiert, da ich auch eben erst mein DSL eingerichtet hab... Wenn du mir sagst wie ich einen solchen Bericht erstelle, poste ich ihn sofort. |
|
02.02.2006, 19:26
| #6 |
| | TR/Dldr.ConHook.L *** Bitte Bestätigung von "oben" abwarten" *** Du musst Dein System neu Aufsetzten. Du hast diesen Kandidaten auf dem Rechner: http://www.sophos.com/virusinfo/anal...ojagentuy.html Anleitung zum Neuaufsetzen
__________________ --> TR/Dldr.ConHook.L |
|
02.02.2006, 19:29
| #7 |
| | TR/Dldr.ConHook.L BITTE SAG DASS DAS NICHT WAHR IST!!!!!!!!  |
|
02.02.2006, 19:30
| #8 |
| | TR/Dldr.ConHook.L Ich sagte: Warte die Bestätigung von jemand anderem ab!
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
|
02.02.2006, 19:32
| #9 |
| | TR/Dldr.ConHook.L Alles klar! |
|
02.02.2006, 19:48
| #10 | |
  | TR/Dldr.ConHook.L Hallo, Zitat:
O23 - Service: Plug-n-Play SP2 Fix (sp2pnpfix) - Unknown owner - C:\WINDOWS\system32\pnpsp2fix.exe (file missing) O23 - Service: ILT - Unknown owner - C:\WINDOWS\ilt.exe (file missing) Srv32 - Unknown owner - C:\WINDOWS\system32\srv32.exe (file missing) Wahrscheinlicher Grund ein nicht aktuelles System, SP2 ist einfach Pflicht. Also zukünftig System aktuell halten und auch die sonstigen Anweisungen aus der Anleitung beachten. @MM nicht illegal being Tutorial am Rande: Daran ist der Vundo.b alias conhook.l alias Virtualmonde zu erkennen: Kombination O2-O20 mit der selben Datei, hier: O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\iiihf.dll O20 - Winlogon Notify: iiihf - C:\WINDOWS\SYSTEM32\iiihf.dll Bekämpfen kann man ihn mit dieser Anleitung. Außerdem ist auch look2me hier drauf: O20 - Winlogon Notify: Themes - C:\WINDOWS\system32\enjul1191.dll Zu erkennen an der Zufallsdatei, die sowohl Zahlen als auch Buchstaben enthält, ich glaube es sind auch immer neun Zeichen. Edit das mit den neun Zeichen stimmt nicht, können auch mehr sein, aber grob in der Größenordnung Grüße Wildone |
|
02.02.2006, 19:53
| #11 |
| | TR/Dldr.ConHook.L @Wildone Danke für das Tut  Die beiden O20-Einträge waren mir aufgefallen. Leider hat Sophos in der Beschreibung zu ConHook.l nichts von einem BHO stehen. Nach dem oleupdate.exe-Fund habe ich mich aber auch nicht weiter darum gekümmert. P.S.: Kann es sein, dass die Infos bei Sophos teilweise nicht ganz exakt sind?
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
|
02.02.2006, 19:57
| #12 |
| | TR/Dldr.ConHook.L Ich werd jetzt noch die Bestätigung abwarten, aber trotzdem schonmal gefragt. Was kann ich denn an Daten retten von meiner Platte? mp3s? Eigene Dateien? oder besser gar nix? Will mir das Pferdchen ja nicht verschleppen. Und was sind denn (ausser) SP2 so die sicherheits Basics? Av Programme? Firewall trotz Fritzbox? Anti Spy Programme? |
|
02.02.2006, 20:00
| #13 | |
| | TR/Dldr.ConHook.L Hallo, Zitat:
außerdem fällt das ganze eher Richtung Spyware, da sind die Beschreibungen der Virenscanner nicht ganz so gut. Gibt aber meist leider kein wirkliche Alternative. @Illegal being Lies dir erst mal (nach Verdauung des ersten Schocks) in aller Ruhe die Von MightyMark verlinkte anleitung durch, da wird fast alles beantwortet. Was die Dateien angeht, die ausführbaren(exe, com, pif, scr...) solltest du nicht auf das neue System übernehmen, mp3s, Filme und Bilder sind kein Problem. Grüße Wildone |
|
02.02.2006, 20:04
| #14 | |
| | TR/Dldr.ConHook.LZitat:
Die entsprechenden Links wurden dir schon gegeben.
__________________  Only cronos endures |
|
02.02.2006, 20:05
| #15 | |
| | TR/Dldr.ConHook.LZitat:
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
|
| Themen zu TR/Dldr.ConHook.L |
| schei, troja, trojaner, weiterhelfen, zusammen |
Linear-Darstellung
