SndMon32.exe , laut HJT schädlich, geht nicht weg.... |
||
---|---|---|
#0
| ||
23.01.2005, 21:48
...neu hier
Beiträge: 7 |
||
|
||
23.01.2005, 22:01
...neu hier
Themenstarter Beiträge: 7 |
#2
Logfile of HijackThis v1.99.0
Scan saved at 21:56:36, on 23.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Administrator.JUWSCOMP.000\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Microsoft Automatic Updater] Explorer.exe O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32abc.exe O4 - HKLM\..\Run: [Microsofts Security Manager] mvlx.exe O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\mwuama.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [win-update] winupdt.exe O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe O4 - HKLM\..\RunServices: [Microsoft Automatic Updater] Explorer.exe O4 - HKLM\..\RunServices: [Microsofts Security Manager] mvlx.exe O4 - HKLM\..\RunServices: [win-update] winupdt.exe O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105607509796 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe So da isser und ja, ich habe schon festgestellt das mein "Freund" sasser wieder da ist, hängt wohl damit zusammen das die Systemwiederherstellung von nem Punkt stammt als ich sasser noch nicht gefixt hatte. Halte den aber für das kleinere Übel, ehrlich gesagt... |
|
|
||
23.01.2005, 22:36
...neu hier
Themenstarter Beiträge: 7 |
#3
Das laus mich doch einer, ich schwöre Stein und Bein das Antivir noch gestern nix wegen SndMon32.exe und ner Menge anderer Schädlinge erzählt hat und heute rauschen die Meldungen über gefundene Schädlinge nur so übern Screen . Ziehe das mal durch und gucke dann was HJT so sagt
|
|
|
||
24.01.2005, 01:41
Member
Beiträge: 41 |
#4
http://www.sophos.de/virusinfo/analyses/w32rbotrg.html
Könnte das eventuell dein Problem sein? Bin gespannt auf das Ergebnis deines AntiVir Scans __________ Hab ich "NULL" gewählt? |
|
|
||
24.01.2005, 10:41
...neu hier
Themenstarter Beiträge: 7 |
#5
Das könnte wohl einer von mehreren sein ich habe leider z.zt. das Problem das ich Service Pack 2 installen will, meine Produkt recovery CD ist SP 1 und ich weiss ned wo ich SP2 herbekomme, der Windowsupdater weigert sich 250 megs mit meinem 56k Modem zu dlen . So suche ich nun rum, bzw. Frage nen paar Kumpels ob nicht einer so ne CD rumliegen hat wo das zufällig drauf ist.
|
|
|
||
24.01.2005, 11:45
...neu hier
Themenstarter Beiträge: 7 |
#6
C:\
pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\Jens - Uwe\Lokale Einstellungen\Temp\byeE5.tmp\Disk1 engine32.cab ArchiveType: CAB (Microsoft) --> ikernel.dll HINWEIS! Der Archivheader ist defekt --> IsProBENT.tlb HINWEIS! Der Archivheader ist defekt --> IsProBE9x.tlb HINWEIS! Der Archivheader ist defekt --> objectps.dll HINWEIS! Der Archivheader ist defekt --> DotNetInstaller.exe HINWEIS! Der Archivheader ist defekt --> ctor.dll HINWEIS! Der Archivheader ist defekt --> IUser.dll HINWEIS! Der Archivheader ist defekt --> IScript.dll HINWEIS! Der Archivheader ist defekt Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\system32 ecnl.exe [FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG WURDE GELÖSCHT! jdvs.exe [FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG WURDE GELÖSCHT! jsjn.exe [FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG WURDE GELÖSCHT! TFTP3628 [FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG WURDE GELÖSCHT! TFTP3992 [FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG WURDE GELÖSCHT! umxd.exe [FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG WURDE GELÖSCHT! C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXCFOXWP x[1].exe [FUND!] Enthält Signatur des Wurmes Worm/Korgo.Q WURDE GELÖSCHT! Ende des Suchlaufs: Montag, 24. Januar 2005 11:33 Benötigte Zeit: 16:30 min 3719 Verzeichnisse wurden durchsucht 22337 Dateien wurden geprüft 6 Warnungen wurden ausgegeben 7 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 7 Viren bzw. unerwünschte Programme wurden gefunden Erstaunlicherweisse bloss 2 gefunden, die anderen die drauf waren habe ich wohl gestern schon entfernt, obwohl mir Av sagte er könne das nicht so einfach machen, gestern waren es auf jedenfall noch mehr Ob Rbot.zg mit W32Rbotrg zu tun hat, weiss ich nicht, klingt aber zumindestens mal ähmlich. Z.zt. ist auch kein unnatürlich grosser Datenaustausch vorhanden, folglich ist zumindestens vorerst alles in Ordnung, auch die Programme aufzurufen geht wieder, also Taskmanager usw. Ich füge noch den HJt Log an, vll sieht ja noch jemand was gefährliches oder unnötiges, dann kann er mir das hier gerne mitteillen: Logfile of HijackThis v1.99.0 Scan saved at 11:35:35, on 24.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Jens - Uwe\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Microsoft Automatic Updater] Explorer.exe O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\mwuama.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\RunServices: [Microsoft Automatic Updater] Explorer.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105607509796 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
27.01.2005, 19:50
...neu hier
Themenstarter Beiträge: 7 |
#7
Ich schiebe das nochmal hoch: gibts zufälligerweisse jemand der sich gut auskennt und sich mal die Explorer.Exe anschauen könnte oder mir was dazu sagen könnte, dieses Programm versucht immer wieder auf diverse recht ominöse Seiten zuzugreifen, jehdoch finden alle Möglichen Programme keine schädlichen Dateien. Und der Internetexplorer isses auch ned, der heisst ja bissl anders.
|
|
|
||
27.01.2005, 20:10
Moderator
Beiträge: 7805 |
#8
Du musst darauf achten, wo diese Explorer.exe sich befindet. In deinem Falle wird sie wohl im System32 Ordner sein. Auch diese Datei, so sie noch da ist, ist "boese":
C:\WINDOWS\System32\mwuama.exe Entweder mal Escan bemuehen: http://www.rokop-security.de/board/index.php?showtopic=3867 und/oder die Dateien an virus@rokop-security.de schicken. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.01.2005, 21:42
...neu hier
Themenstarter Beiträge: 7 |
#9
Danke Raman, habe das Zeugs auch entfernt, jetzt ist nichts mehr verdächtiges drauf und es gibt auch keinerlei "unersichtlichen" Datenverkehr.
|
|
|
||
Da dachte ich mir ich checke mal per HJT ab ob da evt. noch was drauf ist, als ich die Feststellung machte, das ich WEDER HJT nocht denn Taskmanager noch msconfig UND auch nicht Regedit aufrufen kann, diese Programme sind wie geblockt, man sieht kurz das PRogram und dann wird sofort beendet so als hätte jemand das Programm ausm Speicher gekickt. Ich habe dann solange "drannrumgefummelt" (muss man wohl so sagen ) bis ich HJT doch zum laufen gekriegt hatte, dann stellte HJT.de fest das ich eben besagten SndMon32.exe und ein paar unbekannte Programme drauf habe also habe ich per HJt die SndMon32.exe gelöscht und beim neustart ging plötzlich gar nix mehr, es stand ständig was da von VSMon.exe kann nicht in den Speicher initialisiert werden oder so ähnlich , sodas ich gezwungen war ne Systemwiederherstellung zu machen. Das Problem das kein einziges der oben genannten Programme geht, ist nun wieder da und obwohl ich im abgesicherten Modus HJT gestartet (da gehen alle oben genannten Programme reibungslos) und die SndMon32.exe gelöscht habe ist diese nun wieder da. Die oben erwähnten Programme gehen auch nicht und trotz das ich SndMon32.exe für das Internet gesperrt habe findet rege Datenaustausch statt, obwohl ich bloss hier im Forum bin (und da kann während des schreibens wohl kaum nen Datenaustausch von mehreren Megabyte sein).
Ich starte eben nochmal im abg. Modus und ziehe nen HJt Logg und poste denn, währe nett wenn sich bitte jemand mir annehmen würde, bin nämlich ein klein wenig Verzweifelt