TR/Dldr.ConHook.M - Wie werde ich ihn wieder los?
 

Hallo,


Habe mir den PLagegeist TR/Dldr.ConHook.M / Virtumonde / conhook.l
eingefangen

Habe schon mehreres versucht, leider ohne Erfolg...

Hier erstmal ein Ewido und ein HJT Log:

__________________________________________________________

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 11:29:30, 02.03.2006
+ Report-Checksumme: E92DC88E

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441} -> Downloader.ConHook.l : Gesäubert ohne Backup
HKLM\SOFTWARE\Classes\CLSID\{6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} -> Adware.Virtumonde : Gesäubert ohne Backup
HKLM\SOFTWARE\Classes\MSEvents.MSEvents -> Adware.VirtuMonde : Gesäubert ohne Backup
HKLM\SOFTWARE\Classes\MSEvents.MSEvents\CLSID -> Adware.VirtuMonde : Gesäubert ohne Backup
HKLM\SOFTWARE\Classes\MSEvents.MSEvents\CurVer -> Adware.VirtuMonde : Gesäubert ohne Backup
HKLM\SOFTWARE\Classes\MSEvents.MSEvents.1 -> Adware.VirtuMonde : Gesäubert ohne Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441} -> Downloader.ConHook.l : Gesäubert ohne Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} -> Adware.Virtumonde : Gesäubert ohne Backup
HKU\S-1-5-21-343818398-1993962763-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00DBDAC8-4691-4797-8E6A-7C6AB89BC441} -> Downloader.ConHook.l : Gesäubert ohne Backup
HKU\S-1-5-21-343818398-1993962763-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} -> Adware.Virtumonde : Gesäubert ohne Backup
HKU\S-1-5-21-343818398-1993962763-682003330-1003\Software\WhenU -> Adware.SaveNow : Gesäubert ohne Backup
HKU\S-1-5-21-343818398-1993962763-682003330-1003\Software\WhenU\Weather -> Adware.SaveNow : Gesäubert ohne Backup
[956] C:\WINDOWS\system32\geebx.dll -> Adware.Virtumonde : Gesäubert ohne Backup
[1652] C:\WINDOWS\system32\geebx.dll -> Adware.Virtumonde : Gesäubert ohne Backup
[1424] C:\WINDOWS\system32\geebx.dll -> Adware.Virtumonde : Gesäubert ohne Backup
[236] C:\WINDOWS\system32\geebx.dll -> Adware.Virtumonde : Gesäubert ohne Backup



::Report Ende

_________________________________________________________


C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\eMule0.43b-sivka.v13b2-WinNT-bin\emule.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\XX\Desktop\Systemprogramme\HijackThis.exe

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\geebx.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\gebyx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Microsoft SDKP2] mswinsdp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\RunServices: [Microsoft SDKP2] mswinsdp.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hXXp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - hXXp://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.3.1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hXXp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127466404024
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4877EC9-E0BF-4270-9E6F-7F1F313714E0}: NameServer = 217.237.151.97 217.237.150.33
O20 - Winlogon Notify: gebyx - C:\WINDOWS\System32\gebyx.dll
O20 - Winlogon Notify: geebx - C:\WINDOWS\SYSTEM32\geebx.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: System Manager Service (SMSC) - Unknown owner - C:\WINDOWS\smsc.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

______________________________________________________________


Das Problem sind wohl jeweils diese 2 einträge:

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\geebx.dll
O2 - BHO: MSEvents Object - {6DD0BC06-4719-4BA3-BEBC-FBAE6A448152} - C:\WINDOWS\System32\gebyx.dll

und

O20 - Winlogon Notify: gebyx - C:\WINDOWS\System32\gebyx.dll
O20 - Winlogon Notify: geebx - C:\WINDOWS\SYSTEM32\geebx.dll

Das Problem ist dass sich diese 2 Dateien irgendwie in keinster Weise löschen lassen....

Ich bitte um hilfe....


PS: Wie kann ich mit msconfig exakt den "abgesicherten Modus" simulieren, da ich beim normalen abgesicherten Modus einen Monitorausfall habe...

Danke im Vorraus

Hallo,
wenn du dem englischen mächtig bist kannst du es mal mit dieser Anleitung versuchen.
Deine Probleme mit dem abgesicherten Modus habe ich noch nicht ganz verstanden, hast du im normalen oder im abgesicherten Modus den Monitorausfall?



Grüße Wildone

Ich habe wenn ich über F8 in den abgesicherten Modus will das Problem dass mir der Monitor "out of range" meldet...

Deshalb muss ich über start --> ausführen --> msconfig versuchen den abgesicherten Modus zu simulieren... und da bräuchte ich die einstellungen dass das genau der abgesicherte Modus ist...

Hallo,
ich glaube nicht das der abgesicherte Modus über Msconfig zu simulieren ist, schon allein deswegen weil diverse Treiber nicht geladen werden. Da scheint es mir erfolgsversprechender mal bei den Monitoreinstellungen zu suchen ob man dort etwas verändern kann (minimale Auflösung einstellen??)
Musst du eigentlich den zweiten Punkt auch noch durcharbeiten? Weil für den ersten wäre der abgesicherte Modus ja nicht von nöten.



Grüße Wildone

danke, er ist weg.... glaub ich zumindest :)