TrojanDropper:Win32/Conhook.A

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Astaroth, 07.01.2009.

  1. #1 Astaroth, 07.01.2009
    Astaroth

    Astaroth Neuer Benutzer

    Dabei seit:
    16.02.2008
    Beiträge:
    20
    Zustimmungen:
    0
    Hallo zusammen,
    Heute wurde mir nach dem hochfahren ein "TrojanDropper:Win32/Conhook.A" gemeldet.
    Der Versuch Ihn zu entfernen wurde wegen Schreibschutz abgebrochen und mir wurde eine erneute Prüfung vorgeschlagen. Diese ergab aber gar nichts.
    Habe G-Data und Windows Defender laufen. Da dies mein erster Kontakt mit Viren/Trojaner ist weiß ich leider nicht was ich weiter tun kann. Hat jemand einen Vorschlag?

    Gruß Astaroth
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 julchri, 07.01.2009
    julchri

    julchri Super-Moderatorin

    Dabei seit:
    28.12.2005
    Beiträge:
    10.561
    Zustimmungen:
    0
    Ort:
    Bayern
    Hallo,

    mach mal einen Virenscan im abgesicherten Modus. Vorher aber Systemwiederherstellung deaktivieren.
    Versuch dann zu löschen, was er findet.
    Und stell ein logfile mit HijackThis hier rein.
     
  4. #3 Leonixx, 07.01.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hallo und Willkommen,

    dieser Schädling TrojanDropper:Win32/Conhook.A ist auch schon oft ein Fehlalarm gewesen (False Positiv).

    Hast du eine Ereignisbericht von Gdata, wo der Trojaner gefunden wurde? (genauer Pfad?)

    Wie Julchri schon geschrieben hat, ein Hijackthis Logfile posten, für einen ersten Überlick.

    Gruss Leonixx
     
  5. #4 Astaroth, 07.01.2009
    Astaroth

    Astaroth Neuer Benutzer

    Dabei seit:
    16.02.2008
    Beiträge:
    20
    Zustimmungen:
    0
    Hallo,
    die Meldung kam vom Defender nicht von G-Data.
    Werde gleich mal im abgesicherten Modus scannen
    Hier mal der Logfile:

    Logfile of HijackThis v1.99.1
    Scan saved at 22:09:16, on 07.01.2009
    Platform: Unknown Windows (WinNT 6.00.1905 SP1)
    MSIE: Internet Explorer v7.00 (7.00.6001.18000)

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\System32\rundll32.exe
    E:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
    E:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\C&E\OSD\osd.exe
    C:\Program Files\Windows Sidebar\sidebar.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - E:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Videoraptor_WebRipPlugin Class - {3C0372C2-04C3-4100-BAB1-1D42C552BC48} - E:\Programme\RapidSolution\AudialsOne\VideoRaptor\plugins\IE\VR_WebRipIePlugin.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Tunebite_WebRipPlugin Class - {AA102584-3B97-47e7-B9BC-75D54C110A7D} - E:\Programme\RapidSolution\AudialsOne\Tunebite\plugins\IE\TB_WebRipIePlugin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - E:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [GDFirewallTray] E:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
    O4 - HKLM\..\Run: [AVKTray] "E:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
    O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{C5FA1~1\setup.exe -rebootC:\PROGRA~1\INSTAL~1\{C5FA1~1\reboot.ini -l0x7
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [ccleaner] "E:\Programme\CCleaner\CCleaner.exe" /AUTO
    O4 - Startup: osd.lnk = C:\Program Files\C&E\OSD\osd.exe
    O4 - Global Startup: G DATA Firewall Tray.lnk = ?
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
    O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O13 - Gopher Prefix:
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
    O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
    O23 - Service: AVK Service (AVKService) - G DATA Software AG - E:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
    O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - E:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
    O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
    O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - E:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
    O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
    O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
     
  6. #5 Astaroth, 08.01.2009
    Astaroth

    Astaroth Neuer Benutzer

    Dabei seit:
    16.02.2008
    Beiträge:
    20
    Zustimmungen:
    0
    Also der Scan im abges.Modus mit G-Data hat nichts ergeben.
    Hier der Bericht von Windows Defender:

    Fehler:
    Code 0x80508017. Einige Aktionen konnten auf potenziell schädliche Elemente nicht angewendet werden. Die Elemente sind möglicherweise in einem schreibgeschützten Pfad gespeichert. Löschen Sie die Dateien oder Ordner, in denen die Elemente gespeichert sind, oder suchen Sie nach Informationen zum Entfernen des Schreibschutzes unter "Hilfe und Support".

    Kategorie:
    Trojaner - Dropper

    Beschreibung:
    Dieses Programm installiert Adware.

    Empfehlung:
    Entfernen Sie diese Software unverzüglich.

    Ressourcen:
    process:
    pid:2112
    process:
    pid:2200

    regkey:
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHAREDDLLS\\C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

    regkey:
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHAREDDLLS\\C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe

    regkey:
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\TrueImageMonitor.exe

    regkey:
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\AcronisTimounterMonitor

    runkey:
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\TrueImageMonitor.exe

    runkey:
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\AcronisTimounterMonitor

    shareddll:
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHAREDDLLS\\C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

    shareddll:
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHAREDDLLS\\C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe

    file:
    C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe->(ZipSfx)

    file:
    C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe->(ZipSfx)

    containerfile:
    C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe

    containerfile:
    C:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
     
  7. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  8. #6 Leonixx, 08.01.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Dein HJT Logfile ist sauber. Nach dem Bericht von Windows Defender ist das eingetreten, was ich mir schon gedacht habe. Klassischer Fehlalarm! Das sind reguläre Prozesse von Acronis True Image.

    Also keine Sorge. Windows Defender hat ähnliche Verhaltensweisen wie bei einem Trojaner erkannt und deshalb diesen Fehlalarm ausgelöst.
     
  9. #7 Astaroth, 09.01.2009
    Astaroth

    Astaroth Neuer Benutzer

    Dabei seit:
    16.02.2008
    Beiträge:
    20
    Zustimmungen:
    0
    Hallo,

    und danke für die schnellen Antworten und Hilfe. Habe schon mit schlimmerem gerechnet.

    Gruß Astaroth
     
Thema: TrojanDropper:Win32/Conhook.A
Besucher kamen mit folgenden Suchen
  1. 0x80508017

    ,
  2. code 0x80508017

    ,
  3. conhook a