Home » Spyware & Browser Hijacker Support Forum » Trojaner dldr.conhook.gen läßt sich nicht entfernen » Themenansicht

Trojaner dldr.conhook.gen läßt sich nicht entfernen
#0
30.05.2007, 10:17
deno205
...neu hier

Beiträge: 1
#1 Hi, bin zum ersten mal hier! Habe wie viele anderen auch oben genannten Trojaner auf dem Rechner und lässt sich nicht entfernen. Habe bereits cleanup, combofix und datfind.bat durchgeführt. Nachfolgend poste ich die Log files und hoffe dass mir jemand helfen kann:

Combofix:

"Cristina Losardo" - 2007-05-30 9:51:55 Service Pack 2
ComboFix 07-05.27.V - Running from: "C:\Dokumente und Einstellungen\Cristina Losardo\Desktop\"

ADS removed - svchost.exe: deleted 68 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


"C:\WINDOWS\system32\14_43260.dll"
"C:\WINDOWS\system32\28_83260.dll"


((((((((((((((((((((((((((((((( Files Created from 2007-04-28 to 2007-05-30 ))))))))))))))))))))))))))))))))))


2007-05-30 08:58 <DIR> d-------- C:\DOKUME~1\CRISTI~1\ANWEND~1\SlySoft
2007-05-30 08:56 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SlySoft
2007-05-30 08:48 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Elaborate Bytes
2007-05-30 08:40 <DIR> d-------- C:\Programme\Elaborate Bytes
2007-05-23 18:23 34,849 --a------ C:\WINDOWS\system32\awvvt.exe
2007-05-23 18:23 27,333 --------- C:\WINDOWS\system32\kbdpnp.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-30 07:07:16 63,976 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-30 07:07:16 391,574 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-30 04:52:07 -------- d-----w C:\Programme\Mozilla Thunderbird
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-18 06:45:41 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-18 06:45:41 -------- d-----w C:\Programme\Google
2007-04-18 06:44:17 -------- d-----w C:\Programme\TuneUp Utilities 2004
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2004-10-19 03:04:45 8 -csh--r C:\WINDOWS\system32\EBB487ADEC.sys
2004-10-19 03:04:45 2,828 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{6c4b471d-92fb-4418-9e62-9a6933181e8e}=C:\WINDOWS\system32\kbdpnp.dll [2007-05-23 18:23]
{AA58ED58-01DD-4d91-8333-CF10577473F7}=c:\programme\google\googletoolbar1.dll [2006-02-14 20:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-03-19 14:37]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-03-19 14:33]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"Acronis True Image Monitor"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [2005-01-02 23:21]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-01-02 23:21]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52]
"NI-VISA Server"="C:\VXIPNP/winnt/nivisa/NIVisaServer.exe" [2005-03-30 19:26]
"niDevMon"="C:\Programme\National Instruments\NI-DAQ\HWConfig\nidevmon.exe" [2005-10-06 12:49]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-05-02 06:39]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 03:48]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-05-30 09:05]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kbdpnp]
kbdpnp.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\farstone]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBDriver]
D:\NBDriver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
"C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RestoreIT!]
"C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PhnxVCDService"=3 (0x3)
"MDM"=2 (0x2)

*Newly Created Service* -ELBYCDIO
*Newly Created Service* -PROCEXP90


~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20070530-093336-767
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
Contents of the 'Scheduled Tasks' folder
2007-04-29 10:08:31 C:\WINDOWS\tasks\1-Klick-Wartung.job

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-30 09:56:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


********************************************************************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Acronis True Image Monitor"="\"C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe\""

Completion time: 2007-05-30 9:57:56
C:\ComboFix-quarantined-files.txt ... 2007-05-30 09:57

--- E O F ---

Datfind.bat:

Log1:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C48-F619

Verzeichnis von C:\WINDOWS\system32

30.05.2007 10:01 115 kbdpnp.dns
30.05.2007 09:07 53.098 perfc009.dat
30.05.2007 09:07 391.574 perfh007.dat
30.05.2007 09:07 63.976 perfc007.dat
30.05.2007 09:07 380.684 perfh009.dat
30.05.2007 09:07 897.778 PerfStringBackup.INI
30.05.2007 09:02 76 LMGRD.LOG
27.05.2007 23:35 1.158 wpa.dbl
23.05.2007 18:23 27.333 kbdpnp.dll
23.05.2007 18:23 34.849 awvvt.exe
27.04.2007 22:45 14.970.328 MRT.exe
18.04.2007 18:13 2.854.400 msi.dll
11.04.2007 21:39 251.880 FNTCACHE.DAT
02.04.2007 14:21 428.032 swreg.exe
17.03.2007 15:44 293.376 winsrv.dll
12.03.2007 09:47 122.142 TZLog.log
09.03.2007 12:24 123.392 xpsp3res.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:32 1.843.712 win32k.sys
28.02.2007 18:02 2.059.904 ntkrnlpa.exe
28.02.2007 18:02 2.182.656 ntoskrnl.exe
19.02.2007 17:03 617.472 urlmon.dll
19.02.2007 17:03 1.494.528 shdocvw.dll
19.02.2007 17:03 664.576 wininet.dll
19.02.2007 17:03 474.624 shlwapi.dll
19.02.2007 17:03 146.432 msrating.dll
19.02.2007 17:03 3.077.632 mshtml.dll
19.02.2007 17:03 39.424 pngfilt.dll
19.02.2007 17:03 532.480 mstime.dll
19.02.2007 17:03 449.024 mshtmled.dll
19.02.2007 17:03 251.392 iepeers.dll
19.02.2007 17:03 16.384 jsproxy.dll
19.02.2007 17:03 55.808 extmgr.dll
19.02.2007 17:03 357.888 dxtmsft.dll
19.02.2007 17:03 1.056.256 danim.dll
19.02.2007 17:03 96.768 inseng.dll
19.02.2007 17:03 205.312 dxtrans.dll
19.02.2007 17:03 1.023.488 browseui.dll
19.02.2007 17:03 152.064 cdfview.dll
05.02.2007 22:18 185.856 upnphost.dll

Log2:
Leer

Log3:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C48-F619

Verzeichnis von C:\WINDOWS

30.05.2007 09:02 0 0.log
30.05.2007 09:02 1.242.871 WindowsUpdate.log
30.05.2007 09:02 2.048 bootstat.dat
30.05.2007 09:01 32.642 SchedLgU.Txt
23.05.2007 18:22 152.791 ntdtcsetup.log
23.05.2007 18:22 115.047 iis6.log
23.05.2007 18:22 250.274 comsetup.log
23.05.2007 18:22 289.399 tsoc.log
23.05.2007 18:22 1.374 imsins.log
23.05.2007 18:22 40.006 ocmsn.log
23.05.2007 18:22 7.529 KB927891.log
23.05.2007 18:22 36.226 msgsocm.log
23.05.2007 18:22 374.746 ocgen.log
23.05.2007 18:22 712.401 FaxSetup.log
23.05.2007 18:22 349.338 setupapi.log
23.05.2007 18:22 43.467 updspapi.log
22.05.2007 19:37 87.040 catchme.exe
11.05.2007 06:56 1.374 imsins.BAK
11.05.2007 06:56 12.421 KB931768.log
11.05.2007 06:55 10.489 KB930916.log
12.04.2007 18:06 14.236 KB931784.log
12.04.2007 18:05 12.300 KB931261.log
12.04.2007 18:05 12.613 KB930178.log
12.04.2007 18:05 12.425 KB932168.log
07.04.2007 18:14 13.139 KB925902.log
23.03.2007 09:02 13.606 KB929338.log
23.03.2007 09:01 47.134 wmsetup.log
12.03.2007 09:49 20.229 KB927779.log
12.03.2007 09:48 16.926 KB927802.log
12.03.2007 09:48 17.527 KB928255.log
12.03.2007 09:48 13.996 KB924667.log
12.03.2007 09:47 26.386 KB931836.log
12.03.2007 09:47 16.206 KB926436.log
12.03.2007 09:47 16.082 KB918118.log
12.03.2007 09:45 18.672 KB928090.log
12.03.2007 09:44 10.693 KB928843.log
17.02.2007 00:01 116 NeroDigital.ini
10.02.2007 10:33 221.526 setupact.log

Log4:
Leer

Log5:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C48-F619

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.08.2005 13:30 5.065 swflash.inf
18.10.2004 18:31 65 desktop.ini
03.08.2004 14:51 293 wuweb.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
5 Datei(en) 7.282 Bytes
0 Verzeichnis(se), 2.691.694.592 Bytes frei

Log6:
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 8C48-F619

Verzeichnis von C:\

30.05.2007 10:01 0 sys.txt
30.05.2007 10:01 526 down.txt
30.05.2007 10:01 110 tmp.txt
30.05.2007 10:01 11.460 system.txt
30.05.2007 10:01 102 systemtemp.txt
30.05.2007 10:01 113.908 system32.txt
30.05.2007 09:57 6.126 ComboFix.txt
30.05.2007 09:57 505 ComboFix-quarantined-files.txt
30.05.2007 09:02 519.491.584 hiberfil.sys
30.05.2007 09:02 1.560.281.088 pagefile.sys

Habe natürlich nur die letzten 3Monate aufgelistet.

Ich hoffe ihr könnt mir helfen, ansonsten muss ich halt leider Gottes nochmal neu installieren. Ich danke euch bereits im Voraus und finde es gut dass es euch gibt!!!

Gruß Deno
Seitenanfang Seitenende
30.05.2007, 12:55
raman
Moderator

Beiträge: 7805
#2 Benenne bitte dsiese beiden Dateien um

C:\WINDOWS\system32\awvvt.exe
C:\WINDOWS\system32\kbdpnp.dll

starte neu und teste die Dateien dann bei Jotti oder VT .

Poste danach bitte ein Hijackthis log
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 1