|
Plagegeister aller Art und deren Bekämpfung: Erst Gromp.A, nun auch noch Gload.I - help, please!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.09.2006, 22:17 | #1 |
| Erst Gromp.A, nun auch noch Gload.I - help, please! Hallo, liebe Leute! Ich verzweifle langsam: mindestens 2 Trojaner (Gromp.A, Gload.I) machen meinem Rechner und mir zu schaffen. Antivir erkennt zwar beide, stürzt aber kurz nach dem Hochfahren ab. Spyware Doctor und Defenza erkennen die Trojaner scheinbar nicht. Möglicherweise hat das Problem mit Windows ME oder MSN Hotmail zu tun?! Antivir ortete TR/Gload.I in C:\WINDOWS\TEMP\6240.TMP bzw A061.TMP und TR/Gromp.A in C:\WINDOWS\Profiles\Havana66\Startmenü\Programme\Autostart\W32.exe Unten angeführt ist das letzte Hijack-Logfile, ich bin für jede Hilfe sehr dankbar! LG, Valerian Logfile of HijackThis v1.99.1 Scan saved at 23:20:06, on 18.09.2006 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAMME\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMKEYBD.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\KEYBDMGR.EXE C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE C:\PROGRAMME\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMUSBKB2.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\USBMMKBD.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\PINNACLE\SHARED FILES\INSTANTCDDVD\PCLETRAY.EXE C:\PROGRAMME\PINNACLE\INSTANTCDDVD\INSTANTWRITE\IWCTRL.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PALM\HOTSYNC.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE C:\WINDOWS\PROFILES\HAVANA66\STARTMENü\PROGRAMME\AUTOSTART\W32.EXE C:\WINDOWS\SYSTEM\HIDSERV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE C:\WINDOWS\SYSTEM\CJMON3Q.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {391a72a1-108d-435a-875e-5b9048e11657} - C:\WINDOWS\SYSTEM\ysgi.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run O4 - HKLM\..\Run: [USBMMKBD] usbmmkbd.exe O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [jservice] C:\PROGRAMME\JET2WEB INFORMER\INFORMER.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\SYSTEM\PSDrvCheck.exe O4 - HKLM\..\Run: [winsockdriver] winservices.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [Keyboard Manager] C:\Programme\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe" O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - HKCU\..\Run: [Symantec Network Driver Update Warning] C:\PROGRA~1\SYMANTEC\LIVEUP~1\SNDWARN.EXE O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\RunServices: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU\..\RunServices: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - HKCU\..\RunServices: [Symantec Network Driver Update Warning] C:\PROGRA~1\SYMANTEC\LIVEUP~1\SNDWARN.EXE O4 - HKCU\..\RunServices: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q O4 - Startup: HOTSYNC MANAGER.LNK = C:\Palm\HOTSYNC.EXE O4 - Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe O4 - Startup: w32.exe O4 - User Startup: HOTSYNC MANAGER.LNK = C:\Palm\HOTSYNC.EXE O4 - User Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe O4 - User Startup: w32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL |
18.09.2006, 23:16 | #2 |
| Erst Gromp.A, nun auch noch Gload.I - help, please! Hallo,
__________________also das sieht mal ganz schlecht aus...... Lasse mal folgende Dateien bei Jotti und Virustotal auswerten. Link in meiner SIG! C:\WINDOWS\PROFILES\HAVANA66\STARTMENü\PROGRAMME\A UTOSTART\W32.EXE C:\WINDOWS\SYSTEM\CJMON3Q.EXE C:\WINDOWS\SYSTEM\ysgi.dll Poste das Ergebnis. Auch wenn nichts gefunden wird...das Gesamte ergebnis einschließlich der Größe der Datei! Gruß Mellosun
__________________ |
19.09.2006, 07:54 | #3 |
| Erst Gromp.A, nun auch noch Gload.I - help, please! Besten Dank, Mellosun!
__________________Ich habe die 3 Dateien bei Virustotal und Jotti durchlaufen lassen und es wurde jede Menge Pein gefunden: 1) C:\WINDOWS\PROFILES\HAVANA66\STARTMENü\PROGRAMME\A UTOSTART\W32.EXE : Complete scanning result of "w32.exe", received in VirusTotal at 09.19.2006, 07:42:06 (CET). Antivirus Version Update Result AntiVir 7.2.0.16 09.18.2006 TR/Gromp.A Authentium 4.93.8 09.18.2006 no virus found Avast 4.7.844.0 09.15.2006 no virus found AVG 386 09.18.2006 Generic2.AIZ BitDefender 7.2 09.19.2006 no virus found CAT-QuickHeal 8.00 09.18.2006 no virus found ClamAV devel-20060426 09.19.2006 no virus found eTrust-InoculateIT 23.72.127 09.16.2006 no virus found eTrust-Vet 30.3.3084 09.18.2006 no virus found DrWeb 4.33 09.18.2006 Trojan.GLoad Ewido 4.0 09.18.2006 Trojan.Gromp.a Fortinet 2.82.0.0 09.19.2006 W32/Gromp.A!tr F-Prot 3.16f 09.18.2006 no virus found F-Prot4 4.2.1.29 09.18.2006 no virus found Ikarus 0.2.65.0 09.18.2006 no virus found Kaspersky 4.0.2.24 09.19.2006 Trojan.Win32.Gromp.a McAfee 4854 09.18.2006 no virus found Microsoft 1.1560 09.19.2006 no virus found NOD32v2 1.1761 09.18.2006 Win32/Agent.NDB Norman 5.80.02 09.18.2006 W32/Agent.AKDD Panda 9.0.0.4 09.18.2006 no virus found Sophos 4.09.0 09.19.2006 no virus found Symantec 8.0 09.19.2006 Trojan.Linkoptimizer TheHacker 6.0.1.071 09.17.2006 no virus found UNA 1.83 09.18.2006 Trojan.Win32.Gromp.4CA6 VBA32 3.11.1 09.19.2006 Trojan.Win32.Agent.NDB VirusBuster 4.3.7:9 09.18.2006 no virus found Aditional Information File size: 17408 bytes MD5: 8daae9a81953768f553099a7911c1597 SHA1: 1f39b365cced525d77c7c785adbacb309d6568bd Suche bei Jotti: Datei: w32.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Trojan/Gromp.A gefunden ArcaVir Trojan.Gromp.A gefunden Avast Keine Viren gefunden AVG Antivirus Generic2.AIZ gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.GLoad gefunden F-Prot Antivirus Keine Viren gefunden Fortinet W32/Gromp.A!tr gefunden Kaspersky Anti-Virus Trojan.Win32.Gromp.a gefunden NOD32 Win32/Agent.NDB gefunden Norman Virus Control W32/Agent.AKDD gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Trojan.Win32.Agent.NDB gefunden 2) C:\WINDOWS\SYSTEM\CJMON3Q.EXE : Complete scanning result of "CJMON3Q.EXE", received in VirusTotal at 09.19.2006, 07:49:39 (CET). Antivirus Version Update Result AntiVir 7.2.0.16 09.18.2006 no virus found Authentium 4.93.8 09.18.2006 no virus found Avast 4.7.844.0 09.15.2006 no virus found AVG 386 09.18.2006 no virus found BitDefender 7.2 09.19.2006 no virus found CAT-QuickHeal 8.00 09.18.2006 no virus found ClamAV devel-20060426 09.19.2006 no virus found DrWeb 4.33 09.18.2006 no virus found eTrust-InoculateIT 23.72.127 09.16.2006 no virus found eTrust-Vet 30.3.3084 09.18.2006 no virus found Ewido 4.0 09.18.2006 no virus found Fortinet 2.82.0.0 09.19.2006 no virus found F-Prot 3.16f 09.18.2006 no virus found F-Prot4 4.2.1.29 09.18.2006 no virus found Ikarus 0.2.65.0 09.18.2006 no virus found Kaspersky 4.0.2.24 09.19.2006 no virus found McAfee 4854 09.18.2006 no virus found Microsoft 1.1560 09.19.2006 no virus found NOD32v2 1.1761 09.18.2006 no virus found Norman 5.90.23 09.18.2006 no virus found Panda 9.0.0.4 09.18.2006 no virus found Sophos 4.09.0 09.19.2006 no virus found Symantec 8.0 09.19.2006 no virus found TheHacker 6.0.1.071 09.17.2006 no virus found UNA 1.83 09.18.2006 no virus found VBA32 3.11.1 09.19.2006 no virus found VirusBuster 4.3.7:9 09.18.2006 no virus found Aditional Information File size: 42048 bytes MD5: 40abe5bb9426594253292ad31a8ebc26 SHA1: 6bf9ee100361af31779e47459caa2563d768a322 Suche von Jotti: Datei CJMON3Q.EXE Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden 3) C:\WINDOWS\SYSTEM\ysgi.dll : Complete scanning result of "ysgi.dll", received in VirusTotal at 09.19.2006, 08:03:01 (CET). Antivirus Version Update Result AntiVir 7.2.0.16 09.18.2006 TR/Gload.I Authentium 4.93.8 09.18.2006 no virus found Avast 4.7.844.0 09.15.2006 no virus found AVG 386 09.18.2006 no virus found BitDefender 7.2 09.19.2006 no virus found CAT-QuickHeal 8.00 09.18.2006 no virus found ClamAV devel-20060426 09.19.2006 no virus found eTrust-InoculateIT 23.72.127 09.16.2006 no virus found eTrust-Vet 30.3.3084 09.18.2006 no virus found DrWeb 4.33 09.18.2006 Trojan.GLoad Ewido 4.0 09.18.2006 no virus found Fortinet 2.82.0.0 09.19.2006 no virus found F-Prot 3.16f 09.18.2006 no virus found F-Prot4 4.2.1.29 09.18.2006 no virus found Ikarus 0.2.65.0 09.18.2006 no virus found Kaspersky 4.0.2.24 09.19.2006 Trojan.Win32.Gload.i McAfee 4854 09.18.2006 no virus found Microsoft 1.1560 09.19.2006 no virus found NOD32v2 1.1761 09.18.2006 no virus found Norman 5.80.02 09.18.2006 no virus found Panda 9.0.0.4 09.18.2006 no virus found Sophos 4.09.0 09.19.2006 no virus found Symantec 8.0 09.19.2006 Trojan.Linkoptimizer TheHacker 6.0.1.071 09.17.2006 no virus found UNA 1.83 09.18.2006 no virus found VBA32 3.11.1 09.19.2006 no virus found VirusBuster 4.3.7:9 09.18.2006 no virus found Aditional Information File size: 12288 bytes MD5: 10cceb90d3af725e5d70afa62c8c9a43 SHA1: 46f19c8090edccd4ffa5f3f41731bbc07b99325f Suche bei Jotti: Datei ysgi.dll Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Trojan/Gload.I gefunden ArcaVir Trojan.Gload.I gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.GLoad gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan.Win32.Gload.i gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Hoffe, dass es hier noch einigermaßen Abhilfe gibt... LG, Valerian |
19.09.2006, 08:32 | #4 |
| Erst Gromp.A, nun auch noch Gload.I - help, please! Guten Morgen, also ich weiß nicht, wie wir da am besten weiter machen. Zitat: Suche bei Jotti: Datei ysgi.dll Kaspersky Anti-Virus Trojan.Win32.Gload.i gefunden sagt Viruslist dazu Dieses Teil ist Recht neu, entdeckt am 15.09.2006. Da noch nichts weiter über diesen Freund bekannt ist, könnt es sich zum einen über einen fehlalarm handeln, aber zum anderen auch um einen Trojaner, mit sogenannten Backdoor eigenschaften. Es gibt jetzt drei möglichkleiten für Dich. 1.: Du machst Dein System Platt und setzt XP Neu auf. Das ist das sicherste und schnellste! 2.: Du schickst die Datei via E-Mail an Kaspersky und lässt sie nochmals genau auswerten. ( Adresse: newvirus@kaspersky.com ) Das sollte nicht lange Dauern! 3.: Du machst einen eScan. Alles dazu findest du Hier mit Anleitung . Bitte genau Lesen und danach Handeln. Vorallem Punkt 5 der Anleitung ist wichtig, da du nach dem Scan den Raport mit Hilfe der find.zip Posten musst! Gruß Mellosun PS: Meine Persönliche Meinung.....Ich würde wohl zu möglichkeit 1. gehen aber erst nachdem ich die Möglichkeit 2 getan habe! |
19.09.2006, 09:52 | #5 |
| Erst Gromp.A, nun auch noch Gload.I - help, please! Nochmals besten Dank, Mellosun, Du hast mir bereits sehr geholfen. Ich werde nach diesen Punkten vorgehen und dann hier berichten. LG, Valerian |
Themen zu Erst Gromp.A, nun auch noch Gload.I - help, please! |
1.tmp, adobe, alcatel, antivir, askbar, bho, browser, c:\windows\temp, diagnostics, excel, explorer, help, hijackthis, internet, internet explorer, langsam, microsoft, monitor, msn hotmail, problem, programme, registry, software, spyware, symantec, system, temp, trojaner, warning, windows, windows\temp, write |