Brauche Hilfe (tonchkml32.exe )

^^..^^ · 07.12.2004, 03:59

Hi ihr, hab seid heute ein prob und zwar schaue ich immer mit dem Reg cleaner und dem Affengriff ob ich irgendwas verdächtiges finde. Wenn das der fall ist beende ich den Prozess entferne ihn aus der reg und lösche ihn unter der Eingabeaufforderung. Nur! diesmal klapp das nicht. er das prog ist immer nur kurz im taskmanager und verschwindet dann. Im Regcleaner kann ich auch nichts komisches finden. nur das meine Firewall sctatt 3 einträge nur noch 2 hat. naja auf jedenfall hab ich mal diese HJT benutzt und poste hier einfach mal. maybe kann mir da ja jmd helfen.

---

Logfile of HijackThis v1.98.2
Scan saved at 03:54:56, on 07.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Antonio Montana\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] E:\Steam\\Steam.exe -silent
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.ch...searchie32.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2722420A-4284-4CF3-9D6B-34A0C33CD7FE}: NameServer = 217.237.151.161 217.237.151.33

charlie1 · 07.12.2004, 04:25

Hi, lösche erst mal das:

O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.c...nsearchi e32.exe
und dann poste noch mal.
LG, Charlie

^^..^^ · 07.12.2004, 15:26

Jo hab ich gemacht. hier der neue scan:

Logfile of HijackThis v1.98.2
Scan saved at 15:26:06, on 07.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Antonio Montana\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] E:\Steam\\Steam.exe -silent
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2722420A-4284-4CF3-9D6B-34A0C33CD7FE}: NameServer = 217.237.151.161 217.237.151.33

Haui45 · 07.12.2004, 18:29

Meiner Meinunng nach ist es mit den löschen bzw. fixen nicht getan!

O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe
siehe http://www.sophos.de/virusinfo/analyses/w32rbotbz.html

Zitat:

Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.

Mein Vorschlag: Scanne dein System mit eScan im abgesicherten Modus und poste was gefunden wurde. Falls dieser Backdoortrojaner jedoch aktiv war, bleibt als sicherste Lösung nur das ->http://www.trojaner-board.de/showpos...28&postcount=2

^^..^^ · 08.12.2004, 16:08

Naja ich habe über 40 gb wichtige Sachen. Also kommt das neu aufsetzen nicht wirklich in frage. Beim Symantec Online Scan gab es folgendes Ergebnis:

C:\WINDOWS\system32\.pif ist infiziert mit Download.Trojan
C:\WINDOWS\system32\msjp32.exe ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\msnmsgrr.exe ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\rpc.exe ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\wuanclt.exe ist infiziert mit W32.Spybot.Worm
C:\Dokumente und Einstellungen\Antonio Montana\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L1C3FMYP\newreply[1].htm ist infiziert mit Bloodhound.Exploit.6
C:\Dokumente und Einstellungen\Antonio Montana\Lokale Einstellungen\Temp\yqhwzymxc.exe ist infiziert mit W32.Spybot.Worm
C:\Dokumente und Einstellungen\Antonio Montana\Lokale Einstellungen\Temp\yrrdxmquc.exe ist infiziert mit W32.Spybot.Worm

das sieht doch schonmal ziemlich schlecht aus oder???

Haui45 · 08.12.2004, 18:13

Zitat:

das sieht doch schonmal ziemlich schlecht aus oder???

Ja!

1.) es wäre besser gewesen, du hättest eScan durchgeführt als den Symatec OnlineScan.
2.) Ich bleibe bei meiner Meinung, nämlich dass dein System nicht mehr vertrauenswürdig ist!
3.) Ob du den Rat befolgst oder nicht bleibt dir überlassen, obwohl solch ein System natürlich nicht nur für dich sondern auch für andere Internetnutzer eine Gefahr darstellt!

mfg Haui

Brauche Hilfe (tonchkml32.exe )

Plagegeister aller Art und deren Bekämpfung: Brauche Hilfe (tonchkml32.exe )