Hallo ihr Lieben,

seit einiger Zeit habe ich einen Trojaner auf meinem Computer, der sich leider nicht löschen lässt.

Sein Name lautet: TROJ_CONHOOK.AU
Diesem Pfad muss ich folgen, um zu ihm zu gelangen: C:\WINDOWS\system32\Imagcfg.dll

Wenn ich die Datei entfernen möchte, kommt eine Fehlermeldung, in der das hier steht:

'Imagcfg kann nicht gelöscht werden: Die Datei wird von einer anderen Person bzw. einem anderen Programm verwendet.

Schließen Sie alle Programme, die die Datei eventuell verwenden können, und wiederholen Sie den Vorgang später.'

Außerdem habe ich Windows XP Professional.

Ich hoffe, das sind genug an Informationen.

Helfende Hände, würde ich begrüßen.

Hallo,
erstelle ein Hijackthis-Log.
Unter "Anleitungen,FAQ,Links" wirst du alles Nötige dazu finden.
Poste die genaue Meldung .Wer meldet was und vor allem wo ?
ich fürchte es ist dieser hier :http://www.sophos.de/security/analys...jconhookn.html
Dann kannst du gleich in den "Anleitungen " bleiben und nach "Neuinstallation " suchen....
Irrlicht

@Irrlicht: Dazu muss ich sagen, dass ich bis vorhin noch nichts von diesem Programm "HJT" gehört oder gelesen hatte. So habe ich versucht, es nach der Anleitung zu machen, und hoffe, es ist richtig.

Das ist das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 19:16:55, on 25.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OfficeScan NT\temp\xpupg.exe
C:\Programme\OfficeScan NT\pccntupd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: 62.178.64.239 bmserver mosaik xmosaik cevaplar db407.1und1.de oscommerce netbazar deneme
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {50a88a17-79e7-4aec-9df6-3f0947d208a3} - C:\WINDOWS\system32\Imagcfg.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [IO-Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:
O20 - Winlogon Notify: Imagcfg - C:\WINDOWS\SYSTEM32\Imagcfg.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: OfficeScan RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScan Listener (tmlisten) - Unknown owner - C:\Programme\OfficeScan NT\tmlisten.exe

Meinst du, muss ich meinen Computer formatieren, oder verstehe ich da gerade etwas miss?

Hallo,
das hier kennst du ? Hört sich an wie ein türkischer Onlinebasar......
O1 - Hosts: 62.178.64.239 bmserver mosaik xmosaik cevaplar db407.1und1.de oscommerce netbazar deneme
Eigentlich erkenne ich nix, was von Übel wäre....
Nochmal : wie bist du auf den "Conhook" gekommen.Irgend ein Programm hat das gemeldet ? Poste die genaue Meldung !
"HJT" ist richtig.
Irrlicht

@Irrlicht: Ja, das kenne ich ... Vergiss das am besten mal ...

*hüstel* Was ist ein Conhook?

Das ist doch die genaue Meldung, oder was meinst du jetzt?

Irrlicht will wissen wer dir gesagt hat, dass du diesen Bösewicht aufm Rechner hast. Also welches Programm sich über die Datei "Imagcfg.dll" beschwert.

Die Idee wird dir ja nicht von alleine gekommen sein.

@myrtille: Achso, danke für die Aufklärung.

Ich führe regelmäßig eine Virusüberprüfung mit OfficeScan NT durch. Meistens findet er nichts, aber in diesem Fall ist es wohl anders.

Die Meldung heißt dann so:

'Scan is complete. At least one virus has been found!

For more information, click the Scan Results tab.'

Dann klicke ich auf "OK", da mir nichts anderes übrig bleibt und dann steht da eben so einiges. Diese Informtionen habe ich eigentlich schon zusammengefasst im ersten Beitrag geschrieben.

Schade, dass niemand mehr versucht hat, mir zu helfen. Ich dachte, es würden nicht nur zwei sein. Trotzdem, vielen Dank euch beiden.

Nun kann ich euch auch frohen Herzens mitteilen, dass mein Problem gelöst wurde und ich jetzt diesen Trojaner von meinem PC verbannt habe. Ohne Rückfahrkarte.

Magst nicht noch verraten, wie???? Hab nämlich gerad genau das gleiche Problem *nerv*..
Danke .