| |
| |||||||
Log-Analyse und Auswertung: ZoneAlarm wird blockiert (vsmon.exe)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.01.2006, 03:00
| #1 |
| |  ZoneAlarm wird blockiert (vsmon.exe) Hi, Leute! Ich weiß wirklich nicht an wen ich mich wenden soll, also versuche ich es bei euch  Ich habe keine Lösung für mein recht schwieriges Problem ergooglen können.System: XP Personal SP1 Also mal zur Vorgeschichte: ich surfe mit dem IE in etwas dubioseren WWW-Gewässern, plötzlich eine Popup-Attacke, ein kleines Fenster öffnet sich, ein automatischer Download beginnt, als dieser fertig ist, öffnet sich das Sun Java Applet. Ich trenne die Verbindung zum Internet und lasse Adaware, Spybot und AntiVir drüber laufen. Es wird einiges gefunden und gelöscht. Neustart -> nun beginnt die Misere. ZoneAlarm startet nicht mehr (der Client läuft zwar - wie der Task Manager meint - aber das Symbol ist weg). Also wollte ich das Programm deinstallieren -> ging nicht, weil "die Datei vsmon.exe nicht geöffnet werden konnte". Also habe ich mich für eine manuelle Deinstallation entschieden - die auch ganz gut klappte, bis ich eben die vsmon.exe im Windows-Ordner System32/ZoneLabs löschen wollte. Die war absolut hartnäckig. Obwohl ich schon ALLE Registry Einträge dazu gelöscht habe (also auch die TrueVector...), wurde die ominöser Weise immer noch gestartet. Und ich konnte ZoneAlarm auch nicht neu installieren, da das Setup meinte, es könne den TrueVector-Dienst nicht beenden. Außerdem konnte ich immer nur für 5 oder 10 Minuten surfen, danach wurde nichts mehr übertragen. Dann half nur ein Neustart. vsmon.exe konnte ich dann endlich mit den UNLOADER aus dem Speicher kicken und löschen. Darauf habe ich dann ZoneAlarm neu installiert. Mit dem Ergebnis, dass nach dem Neustart ein ähnlicher Zustand wie vorher herrscht. Kein Symbol in der Taskleiste, der zlclient.exe wird immer wieder aus dem Speicher gehauen, auch wenn ich ihn manuell starte, Deinstallation ist aufgrund der vsmon.exe nicht möglich. Und: unter Dienste lässt sich der TrueVector Internet Monitor weder deaktivieren (Zugriff verweigert), noch starten (Fehler 32: wird von anderen Prozess benutzt). Also irgendetwas ist mit der vsmon.exe - und das seitdem ich mir etwas eingefangen habe... vielleicht liegt das Ganze ja auch nicht an einem Trojaner o.a. Naja, sei es, wie es sei, hier das Log: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 02:56:38, on 22.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\CTHELPER.EXE C:\System-Tuning\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\Alle\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Tools\FreshDownload\fdcatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400" O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Video\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Zone Labs Client] C:\System-Tuning\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: Download &All by FD - file://C:\Tools\FreshDownload\fdiectx2.htm O8 - Extra context menu item: Download with &FD - file://C:\Tools\FreshDownload\fdiectx.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/01de49cc4bdabbfcdb16/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127842145671 O17 - HKLM\System\CCS\Services\Tcpip\..\{112154E5-AA54-446C-85DD-DD0CFA7C639F}: NameServer = 85.255.115.3,85.255.112.12 O17 - HKLM\System\CCS\Services\Tcpip\..\{8660EB0F-A9F3-4C6C-A63A-16452C508850}: NameServer = 217.237.149.225 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{9C8AE48A-5588-4542-A0B6-D009CB63F8E4}: NameServer = 85.255.115.3,85.255.112.12 O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySql - Unknown owner - C:/FoxServ/mysql/bin/mysqld-nt.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe mfg bekay |
| Themen zu ZoneAlarm wird blockiert (vsmon.exe) |
| antivir, automatischer download, bho, blockiert, desktop, drivers, einstellungen, excel, fehler, hijack, hijackthis, immer wieder, internet, internet explorer, logfile, monitor, neustart., outlook express, problem, programm, prozess, registry, rundll, software, starten, taskleiste, trojaner, träge, usb, windows xp, zugriff verweigert |
Baum-Darstellung