Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Brauche Hilfe (tonchkml32.exe ) (https://www.trojaner-board.de/10501-brauche-hilfe-tonchkml32-exe.html)

^^..^^ 07.12.2004 03:59
Brauche Hilfe (tonchkml32.exe )
 
Hi ihr, hab seid heute ein prob und zwar schaue ich immer mit dem Reg cleaner und dem Affengriff ob ich irgendwas verdächtiges finde. Wenn das der fall ist beende ich den Prozess entferne ihn aus der reg und lösche ihn unter der Eingabeaufforderung. Nur! diesmal klapp das nicht. er das prog ist immer nur kurz im taskmanager und verschwindet dann. Im Regcleaner kann ich auch nichts komisches finden. nur das meine Firewall sctatt 3 einträge nur noch 2 hat. naja auf jedenfall hab ich mal diese HJT benutzt und poste hier einfach mal. maybe kann mir da ja jmd helfen.

---

Logfile of HijackThis v1.98.2
Scan saved at 03:54:56, on 07.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Antonio Montana\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] E:\Steam\\Steam.exe -silent
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.ch...searchie32.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2722420A-4284-4CF3-9D6B-34A0C33CD7FE}: NameServer = 217.237.151.161 217.237.151.33

charlie1 07.12.2004 04:25
Hi, lösche erst mal das:

O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.c...nsearchi e32.exe
und dann poste noch mal.
LG, Charlie

^^..^^ 07.12.2004 15:26
Jo hab ich gemacht. hier der neue scan:

Logfile of HijackThis v1.98.2
Scan saved at 15:26:06, on 07.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Antonio Montana\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] E:\Steam\\Steam.exe -silent
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2722420A-4284-4CF3-9D6B-34A0C33CD7FE}: NameServer = 217.237.151.161 217.237.151.33

Haui45 07.12.2004 18:29
Meiner Meinunng nach ist es mit den löschen bzw. fixen nicht getan!

O4 - HKLM\..\Run: [Microsoft Update Machine] zonealarm.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zonealarm.exe
siehe http://www.sophos.de/virusinfo/analyses/w32rbotbz.html
Zitat:
Er verfügt außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der Wurm als Dienstprozess im Hintergrund aktiv ist.
Mein Vorschlag: Scanne dein System mit eScan im abgesicherten Modus und poste was gefunden wurde. Falls dieser Backdoortrojaner jedoch aktiv war, bleibt als sicherste Lösung nur das ->http://www.trojaner-board.de/showpos...28&postcount=2

^^..^^ 08.12.2004 16:08
Naja ich habe über 40 gb wichtige Sachen. Also kommt das neu aufsetzen nicht wirklich in frage. Beim Symantec Online Scan gab es folgendes Ergebnis:


C:\WINDOWS\system32\.pif ist infiziert mit Download.Trojan
C:\WINDOWS\system32\msjp32.exe ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\msnmsgrr.exe ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\rpc.exe ist infiziert mit W32.Spybot.Worm
C:\WINDOWS\system32\wuanclt.exe ist infiziert mit W32.Spybot.Worm
C:\Dokumente und Einstellungen\Antonio Montana\Lokale Einstellungen\Temporary Internet Files\Content.IE5\L1C3FMYP\newreply[1].htm ist infiziert mit Bloodhound.Exploit.6
C:\Dokumente und Einstellungen\Antonio Montana\Lokale Einstellungen\Temp\yqhwzymxc.exe ist infiziert mit W32.Spybot.Worm
C:\Dokumente und Einstellungen\Antonio Montana\Lokale Einstellungen\Temp\yrrdxmquc.exe ist infiziert mit W32.Spybot.Worm


das sieht doch schonmal ziemlich schlecht aus oder???

Haui45 08.12.2004 18:13
Zitat:
das sieht doch schonmal ziemlich schlecht aus oder???
Ja!

1.) es wäre besser gewesen, du hättest eScan durchgeführt als den Symatec OnlineScan.
2.) Ich bleibe bei meiner Meinung, nämlich dass dein System nicht mehr vertrauenswürdig ist!
3.) Ob du den Rat befolgst oder nicht bleibt dir überlassen, obwohl solch ein System natürlich nicht nur für dich sondern auch für andere Internetnutzer eine Gefahr darstellt!

mfg Haui

Cidre 08.12.2004 19:11
Zitat:
Naja ich habe über 40 gb wichtige Sachen. Also kommt das neu aufsetzen nicht wirklich in frage.
Dann musst du dich eben im Vorfeld mit der Materie auseinandersetzen und dein System vernünftig absichern und einige Grundregeln im Umgang mit dem Internet beachten, dann kann sowas nicht passieren.

btw:
Was machst du eigentlich mit deinen 40 GB wichtige Dateien, wenn deine Festplatte mal das zeitliche segnet?

^^..^^ 09.12.2004 01:24
naja ihr sagt das so leicht. Aber hab echt keine Ahnung wie ich 40 GB sichern soll. Wieso stelle ich für andere ein Risiko dar? gibt es absolut null was ich machen kann als Alternative?

Lutz 09.12.2004 09:55
Zitat:
Zitat von ^^..^^
Wieso stelle ich für andere ein Risiko dar?
Weil Dein Rechner unter Umständen als Wurmschleuder aktiv ist und damit andere Surfer bedroht!

Zitat:
Zitat von ^^..^^
gibt es absolut null was ich machen kann als Alternative?
Nichts, was Dir eine halbwegs vertrauenswürdige Person raten kann!

Wenn Du wissen willst, was sich so alles auf Deinem Rechner tummelt, mach den von Haui45 vorgeschlagenen Scan mit eScan.

Wenn diese 40GB wirklich sooo wichtig sind, frage ich mich allerdings auch, wie Du Dich bspw. vor einem Plattenausfall hättest schützen wollen...
BTW: Ich nehme nicht an, dass es sich um eine Datei in dieser Größe handelt. Also 'häppchenweise' auf CD/DVD sichern und dann das System neu machen.

^^..^^ 09.12.2004 17:59
ok. werde ich machen. allerding gibt es da noch ein prob :koch:

und zwar: ich komme nicht in den Abgesicherten Modus. kann es sein das ein Trojaner das verhindern kann?

mfg

Haui45 09.12.2004 18:20
Zitat:
ok. werde ich machen. allerding gibt es da noch ein prob

und zwar: ich komme nicht in den Abgesicherten Modus.
Diese Problembeschreibung ist nicht sehr aufschlussreich. Wieso kommst du nicht in den abgesicherten Modus? Hast du mal probiert die "F8-Taste" kurz nach dem einschalten lange bzw. sehr oft zu drücken?

^^..^^ 09.12.2004 21:06
Ja klar. ahbe die f8 taste gedrück. dann kommt das menü zum auswählen. gibt glaub 3 verschiedene Abgesicherte mods.Allerdings kommt nach dem auswählen nur kurz was und dann blinkt nur links oben ein
_


und der Bildschirm bleibt Schwarz :/

chaosman 09.12.2004 21:59
@^^..^^
http://www.trojaner-board.de/63335-w...s-starten.html


chaosman

^^..^^ 10.12.2004 04:31
ok, werde ich dann mal machen. poste dann obs geklappt hat!

^^..^^ 10.12.2004 17:26
ok hate de ganze nacht den Pc aus und hat trotzdem nicht gefunkt :/ verdammt!


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:58 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131