SndMon32.exe , laut HJT schädlich, geht nicht weg....

#1 Hi, habe vor einigen Tagen meinen PC formatiert, dann erst ne Firewalle draufgemacht (ZoneSec) und dann Windowsupdate gemacht. Trotzdem hatte ich mir erst lsass eingefangen, kein Problem, habe ich gefixt. Dann kam diese ominöse SndMon32.exe und ich habe immer einen massiven Datenaustausch im Verbindungsfenster angezeigt. Auch wenn ich das Ding nicht freigebe !?! .
Da dachte ich mir ich checke mal per HJT ab ob da evt. noch was drauf ist, als ich die Feststellung machte, das ich WEDER HJT nocht denn Taskmanager noch msconfig UND auch nicht Regedit aufrufen kann, diese Programme sind wie geblockt, man sieht kurz das PRogram und dann wird sofort beendet so als hätte jemand das Programm ausm Speicher gekickt. Ich habe dann solange "drannrumgefummelt" (muss man wohl so sagen ) bis ich HJT doch zum laufen gekriegt hatte, dann stellte HJT.de fest das ich eben besagten SndMon32.exe und ein paar unbekannte Programme drauf habe also habe ich per HJt die SndMon32.exe gelöscht und beim neustart ging plötzlich gar nix mehr, es stand ständig was da von VSMon.exe kann nicht in den Speicher initialisiert werden oder so ähnlich , sodas ich gezwungen war ne Systemwiederherstellung zu machen. Das Problem das kein einziges der oben genannten Programme geht, ist nun wieder da und obwohl ich im abgesicherten Modus HJT gestartet (da gehen alle oben genannten Programme reibungslos) und die SndMon32.exe gelöscht habe ist diese nun wieder da. Die oben erwähnten Programme gehen auch nicht und trotz das ich SndMon32.exe für das Internet gesperrt habe findet rege Datenaustausch statt, obwohl ich bloss hier im Forum bin (und da kann während des schreibens wohl kaum nen Datenaustausch von mehreren Megabyte sein).
Ich starte eben nochmal im abg. Modus und ziehe nen HJt Logg und poste denn, währe nett wenn sich bitte jemand mir annehmen würde, bin nämlich ein klein wenig Verzweifelt

#2 Logfile of HijackThis v1.99.0
Scan saved at 21:56:36, on 23.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator.JUWSCOMP.000\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Microsoft Automatic Updater] Explorer.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat32abc.exe
O4 - HKLM\..\Run: [Microsofts Security Manager] mvlx.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\mwuama.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [win-update] winupdt.exe
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [Microsoft Automatic Updater] Explorer.exe
O4 - HKLM\..\RunServices: [Microsofts Security Manager] mvlx.exe
O4 - HKLM\..\RunServices: [win-update] winupdt.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105607509796
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



So da isser und ja, ich habe schon festgestellt das mein "Freund" sasser wieder da ist, hängt wohl damit zusammen das die Systemwiederherstellung von nem Punkt stammt als ich sasser noch nicht gefixt hatte. Halte den aber für das kleinere Übel, ehrlich gesagt...

#3 Das laus mich doch einer, ich schwöre Stein und Bein das Antivir noch gestern nix wegen SndMon32.exe und ner Menge anderer Schädlinge erzählt hat und heute rauschen die Meldungen über gefundene Schädlinge nur so übern Screen . Ziehe das mal durch und gucke dann was HJT so sagt

#4 http://www.sophos.de/virusinfo/analyses/w32rbotrg.html
Könnte das eventuell dein Problem sein?

Bin gespannt auf das Ergebnis deines AntiVir Scans
__________
Hab ich "NULL" gewählt?

#5 Das könnte wohl einer von mehreren sein ich habe leider z.zt. das Problem das ich Service Pack 2 installen will, meine Produkt recovery CD ist SP 1 und ich weiss ned wo ich SP2 herbekomme, der Windowsupdater weigert sich 250 megs mit meinem 56k Modem zu dlen . So suche ich nun rum, bzw. Frage nen paar Kumpels ob nicht einer so ne CD rumliegen hat wo das zufällig drauf ist.

#6 C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Jens - Uwe\Lokale Einstellungen\Temp\byeE5.tmp\Disk1
engine32.cab
ArchiveType: CAB (Microsoft)
--> ikernel.dll
HINWEIS! Der Archivheader ist defekt
--> IsProBENT.tlb
HINWEIS! Der Archivheader ist defekt
--> IsProBE9x.tlb
HINWEIS! Der Archivheader ist defekt
--> objectps.dll
HINWEIS! Der Archivheader ist defekt
--> DotNetInstaller.exe
HINWEIS! Der Archivheader ist defekt
--> ctor.dll
HINWEIS! Der Archivheader ist defekt
--> IUser.dll
HINWEIS! Der Archivheader ist defekt
--> IScript.dll
HINWEIS! Der Archivheader ist defekt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32
ecnl.exe
[FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG
WURDE GELÖSCHT!
jdvs.exe
[FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG
WURDE GELÖSCHT!
jsjn.exe
[FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG
WURDE GELÖSCHT!
TFTP3628
[FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG
WURDE GELÖSCHT!
TFTP3992
[FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG
WURDE GELÖSCHT!
umxd.exe
[FUND!] Enthält Signatur des Wurmes Worm/RBot.ZG
WURDE GELÖSCHT!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXCFOXWP
x[1].exe
[FUND!] Enthält Signatur des Wurmes Worm/Korgo.Q
WURDE GELÖSCHT!

Ende des Suchlaufs: Montag, 24. Januar 2005 11:33
Benötigte Zeit: 16:30 min


3719 Verzeichnisse wurden durchsucht
22337 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
7 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Viren bzw. unerwünschte Programme wurden gefunden

Erstaunlicherweisse bloss 2 gefunden, die anderen die drauf waren habe ich wohl gestern schon entfernt, obwohl mir Av sagte er könne das nicht so einfach machen, gestern waren es auf jedenfall noch mehr Ob Rbot.zg mit W32Rbotrg zu tun hat, weiss ich nicht, klingt aber zumindestens mal ähmlich.
Z.zt. ist auch kein unnatürlich grosser Datenaustausch vorhanden, folglich ist zumindestens vorerst alles in Ordnung, auch die Programme aufzurufen geht wieder, also Taskmanager usw. Ich füge noch den HJt Log an, vll sieht ja noch jemand was gefährliches oder unnötiges, dann kann er mir das hier gerne mitteillen:

Logfile of HijackThis v1.99.0
Scan saved at 11:35:35, on 24.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Jens - Uwe\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Automatic Updater] Explorer.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\mwuama.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [Microsoft Automatic Updater] Explorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105607509796
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#7 Ich schiebe das nochmal hoch: gibts zufälligerweisse jemand der sich gut auskennt und sich mal die Explorer.Exe anschauen könnte oder mir was dazu sagen könnte, dieses Programm versucht immer wieder auf diverse recht ominöse Seiten zuzugreifen, jehdoch finden alle Möglichen Programme keine schädlichen Dateien. Und der Internetexplorer isses auch ned, der heisst ja bissl anders.

#8 Du musst darauf achten, wo diese Explorer.exe sich befindet. In deinem Falle wird sie wohl im System32 Ordner sein. Auch diese Datei, so sie noch da ist, ist "boese":
C:\WINDOWS\System32\mwuama.exe

Entweder mal Escan bemuehen:
http://www.rokop-security.de/board/index.php?showtopic=3867

und/oder die Dateien an virus@rokop-security.de schicken.
__________
MfG Ralf
SEO-Spam Hunter

#9 Danke Raman, habe das Zeugs auch entfernt, jetzt ist nichts mehr verdächtiges drauf und es gibt auch keinerlei "unersichtlichen" Datenverkehr.