Trojaner-Board - ZoneAlarm wird blockiert (vsmon.exe)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - ZoneAlarm wird blockiert (vsmon.exe) (https://www.trojaner-board.de/26092-zonealarm-blockiert-vsmon-exe.html)

ZoneAlarm wird blockiert (vsmon.exe)

Hi, Leute!

Ich weiß wirklich nicht an wen ich mich wenden soll, also versuche ich es bei euch :) Ich habe keine Lösung für mein recht schwieriges Problem ergooglen können.

System: XP Personal SP1

Also mal zur Vorgeschichte: ich surfe mit dem IE in etwas dubioseren WWW-Gewässern, plötzlich eine Popup-Attacke, ein kleines Fenster öffnet sich, ein automatischer Download beginnt, als dieser fertig ist, öffnet sich das Sun Java Applet. Ich trenne die Verbindung zum Internet und lasse Adaware, Spybot und AntiVir drüber laufen. Es wird einiges gefunden und gelöscht. Neustart -> nun beginnt die Misere. ZoneAlarm startet nicht mehr (der Client läuft zwar - wie der Task Manager meint - aber das Symbol ist weg). Also wollte ich das Programm deinstallieren -> ging nicht, weil "die Datei vsmon.exe nicht geöffnet werden konnte". Also habe ich mich für eine manuelle Deinstallation entschieden - die auch ganz gut klappte, bis ich eben die vsmon.exe im Windows-Ordner System32/ZoneLabs löschen wollte. Die war absolut hartnäckig. Obwohl ich schon ALLE Registry Einträge dazu gelöscht habe (also auch die TrueVector...), wurde die ominöser Weise immer noch gestartet. Und ich konnte ZoneAlarm auch nicht neu installieren, da das Setup meinte, es könne den TrueVector-Dienst nicht beenden. Außerdem konnte ich immer nur für 5 oder 10 Minuten surfen, danach wurde nichts mehr übertragen. Dann half nur ein Neustart. vsmon.exe konnte ich dann endlich mit den UNLOADER aus dem Speicher kicken und löschen. Darauf habe ich dann ZoneAlarm neu installiert. Mit dem Ergebnis, dass nach dem Neustart ein ähnlicher Zustand wie vorher herrscht. Kein Symbol in der Taskleiste, der zlclient.exe wird immer wieder aus dem Speicher gehauen, auch wenn ich ihn manuell starte, Deinstallation ist aufgrund der vsmon.exe nicht möglich. Und: unter Dienste lässt sich der TrueVector Internet Monitor weder deaktivieren (Zugriff verweigert), noch starten (Fehler 32: wird von anderen Prozess benutzt). Also irgendetwas ist mit der vsmon.exe - und das seitdem ich mir etwas eingefangen habe... vielleicht liegt das Ganze ja auch nicht an einem Trojaner o.a.

Naja, sei es, wie es sei, hier das Log:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 02:56:38, on 22.01.2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\htpatch.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\System-Tuning\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Programme\Outlook Express\msimn.exe

C:\Dokumente und Einstellungen\Alle\Desktop\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Tools\FreshDownload\fdcatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Video\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Zone Labs Client] C:\System-Tuning\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: Download &All by FD - file://C:\Tools\FreshDownload\fdiectx2.htm

O8 - Extra context menu item: Download with &FD - file://C:\Tools\FreshDownload\fdiectx.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/01de49cc4bdabbfcdb16/netzip/RdxIE601_de.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127842145671

O17 - HKLM\System\CCS\Services\Tcpip\..\{112154E5-AA54-446C-85DD-DD0CFA7C639F}: NameServer = 85.255.115.3,85.255.112.12

O17 - HKLM\System\CCS\Services\Tcpip\..\{8660EB0F-A9F3-4C6C-A63A-16452C508850}: NameServer = 217.237.149.225 194.25.2.129

O17 - HKLM\System\CCS\Services\Tcpip\..\{9C8AE48A-5588-4542-A0B6-D009CB63F8E4}: NameServer = 85.255.115.3,85.255.112.12

O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: MySql - Unknown owner - C:/FoxServ/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielleicht ist was zu finden, ich bin nämlich etwas am verzweifeln...

mfg
bekay

@bekay

Zitat:

System: XP Personal SP1

Bist du wirklich stolz, kein SP2 installiert zu haben?

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Als Folge- gehijackter IE

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{112154E5-AA54-446C-85DD-DD0CFA7C639F}: NameServer = 85.255.115.3,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C8AE48A-5588-4542-A0B6-D009CB63F8E4}: NameServer = 85.255.115.3,85.255.112.12

+ starker Backdoor-Verdacht

Zitat:

O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll

Bitte der Anleitung zum Neuafsetzen (Link in meiner Signatur) folgen.

Zitat:

Zitat von Rene-gad

@bekay

Bist du wirklich stolz, kein SP2 installiert zu haben?

Als Folge- gehijackter IE

+ starker Backdoor-Verdacht

Bitte der Anleitung zum Neuafsetzen (Link in meiner Signatur) folgen.

Die Frage des Stolz-Seins - ja eine rein rhethorische - die wohl impliziert, dass ich mich schämen sollte, ist etwas fehlgeleitet. Dass ich da lahmarschig war, ist von mir aus eine Frage der Vernunft, aber nicht der Moral. Also bitte keine emotionalen Übergriffe...

Ich weiß zwar, dass meine Lösung, die ich nun durchgeführt habe, nicht gerade befürwortet wird, aber sei es drum: Habe die Hijacker gelöscht, genau wie die Trojaner - alles manuell. Zonealarm läuft wieder, SP2 ist auch drauf, es wird nur noch Firefox benutzt... außerdem werde ich die Tipps im Neuaufsetzen-Thread beherzigen. Ich versuche es ersteinmal so. Mal sehen, wenn es nicht funktioniert, werde ich wohl schon C: formatieren! Aber daran will ich jetzt erst einmal nicht denken.

Wollte mal fragen: was für ein Anti-Virus-Programm/Sicherheitsprogramm ist denn derzeit das Beste? Muss keine Freeware sein...

bekay

@bekay

Zitat:

werde ich wohl schon C: formatieren! Aber daran will ich jetzt erst einmal nicht denken.

*schrei*
Rene-gad meinte "Bitte der Anleitung zum Neuafsetzen (Link in meiner Signatur) folgen." - hast du´s dir mal durchgelesen?

Zitat:

Wenn auf einem System eine Malware, wie z.B. ein Backdoor Trojaner oder ein Wurm mit Backdoor Funktionalität installiert und diese auch aktiv wurde, dann spricht man von einer Kompromittierung (Bloßstellung) des Systems. Dies hat zur Folge, dass alle Dateien (insbesondere AV Anwendungen) manipuliert werden können und somit die sensiblen Daten des Benutzers bzw. Systems als bekannt anzusehen sind.
Das System als solches ist folglich nicht mehr vertrauenswürdig, da die Möglichkeit des Fernzugriffs durch Dritte besteht.

.... was sich dann aber auf das system bezieht, welches er neu installiert.

oder meinst du es hätte sich was auf alle partitionen verfrachtet?
falls ja - wie würde das dann gestartet werden, wenn die primäre infektion aufgelöst wurde?

!!theoretisch!! würde es reichen XP einfach neu zu installiere, davor internetstecker raus - sp2 drauf - stecker rein - windows update machn.

Eine viel interessantere Frage: wer wertet die Daten von meinem Computer aus? Das würde mich mal viel eher interessieren...

@Markus123
Immer feste druff ? So einen Blödsinn auch noch erzählen.........
@bekay
Frage den Cracker doch,er ist derjenige der weiß oder wissen sollte warum er deine Kiste einkassiert hat und für was er sie benutzen will.
Sag ihm aber, er solle eine ehrliche Antwort geben..........
Irrlicht

Ich habe mich an die Anleitung gehalten und surfe gerade mit dem eingeschränkten Konto - das ist zwar ne schöne Idee, hat aber einen gewaltigen Haken: die meisten Einstellungen werden nun getrennt behandelt. Es handelt sich ja nicht um unterschiedliche Konten aufgrund anderer Personen. So lade ich z.B. eine Setup Datei auf den Desktop, wechsel den Benutzer zum Admin (um zu installieren), natürlich ist sie nicht da - sind ja andere Konten ergo andere Ordner in "Dokumente&Einstellungen". Genauso bei den Anwendungsdaten von Programmen, auf die ich gleichermaßen von den zwei Konten zugreifen will, um nicht alle Einstellungen umständlich doppelt einzugeben. wäre es möglich, die Einstellungs-Ordner der Konten auf einen Ort "umzuroten" ... so ist das ja unerträglich umständlich!

@bekay
du sagst, du hast dich an die anleitung gehalten - hast du neuinstallaiert?
oder nur eingeschränktes konto usw erstellt?

das mit den benutzerkonten ist nicht schwer - wenn du dein system neu aufgesetzt hast und dich an die anleitung gehalten hast, dann ist das einfachste, du richtest dir den pc ein (treiber, aussehen usw), dann erstellst du ein neues admin-konto und von dem neuen admin-konto aus änderst du das eingerichtete konto in ein eingeschränktes.
fertig.
jetzt kannst du mit dem schon eingerichteten (in eingeschränkt geänderten) konto im internet surfen, und das neue uneingerichtete adminkonto nimmst du eben nur für einstellungen/installationen usw.

zum thema desktop - wenn du was runterlädst, dann speichere es einfach in einen ordner, auf den alle konten zugriff haben.
zb einen ordner "DOWNLOADS" auf (?)C: , und auf dem "admin-desktop" und auf den "benutzer-desktop"(eingeschr.) legst du eine verknüpfung.
der verknüpfung kannst du dann ein anderes bildchen geben, dann sieht das auch besser aus :)

so. allerdings, wenn du nen backdoor auf deinem rechner hast, und noch nicht neuinstalliert hast, dann wäre das ganze wahrscheinlich sinnfrei.

@irrlicht
weisst du zufällig, ob es funktioniert, wenn man -
1. nur ein konto (admin)
2.konto einrichten
3.zweites admin-konto erstellen
4.eingerichtetes konto ändern in eingeschränkt
5.damit das neue adminkonto die selben einstellungen usw hat, die ordner von "dokumente und einstellungen" von >eingerichtet< zu >neuem adminkonto< kopieren
müsste ja funktonieren, oder? (nein, ich mach keine experimente:) )

Hallo,

Zitat:

Zitat von cotton

@irrlicht
weisst du zufällig, ob es funktioniert, wenn man -
1. nur ein konto (admin)
2.konto einrichten
3.zweites admin-konto erstellen
4.eingerichtetes konto ändern in eingeschränkt
5.damit das neue adminkonto die selben einstellungen usw hat, die ordner von "dokumente und einstellungen" von >eingerichtet< zu >neuem adminkonto< kopieren
müsste ja funktonieren, oder? (nein, ich mach keine experimente:) )

bin ja nicht Irrlicht,, aber was hast Du vor? Was bleibt ist ein(1) Admin Konto, also wozu diese Gedankensprüge?

Gruß

Schrulli

Zitat:

bin ja nicht Irrlicht

mach ja nüscht :)
...
ich meinte natürlich in "dokumente und einstellungen" die ordner von
"xy"(eingerichtet und als eingeschränkt geändert)
nach
"cv"(admin neu erstelltes konto)
kopieren(ersetzen).
damit emails, einstellungen usw in dem uneigerichteten konto sind.

Zitat:

Was bleibt ist ein(1) Admin Konto

nö. sind doch zwei konten erstellt.
:dummguck: , oder wie jetz

*edit*
ok, das mit den emails in quatsch. habs gerade gelesen - http://www.trojaner-board.de/showthread.php?t=26256
(thema ist übrigens auf diese 2 treads verteilt)

Hallo,

wenn Du die ganzenn Registry Einträge dann auch "umbiegst" könnte es vlt. funktionieren, aber wohl erst nach viel Arbeit.

Gruß

Schrulli

ahhh, die registry .... das lass ich da mal lieber :D
also geht nicht einfach so. ok.
danke.

Zitat:

Zitat von cotton

Oh Danke, das ist natürlich schön zu wissen, das man eben zu erst den Admin konfiguriert, dann einen neuen Admin erstellt und von da aus den alten einschränkt. Jetzt habe ich schon zwei Konten (und ja, ja - nach einem Format C: ... hat alles wunderbar geklappt, PC schnurrt wie ein Kätzchen) und irgendwie schon so eine Art Misch Masch - aber ich denke, ich werde deinen Tipp beherzigen und das eingeschränkte Konto löschen und dann alle wichtigen Einstellungen und Setups im Admin vornehme, um den dann später runterzustufen - hier ( http://www.trojaner-board.de/showthread.php?t=26256 ) habe ich ja einen neuen Thread aufgemacht!

Zitat:

Zitat von cotton

Zubehör -> Systemprogramme -> Übertragen von Dateien und Einstellungen ... hier kannst du die wichtigsten Windows Einstellungen (auch Outlook etc.) auf ein anderen Konto mitnehmen!