Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Erst Gromp.A, nun auch noch Gload.I - help, please! (https://www.trojaner-board.de/32315-erst-gromp-a-noch-gload-i-help-please.html)

valerian 18.09.2006 22:17
Erst Gromp.A, nun auch noch Gload.I - help, please!
 
Hallo, liebe Leute!

Ich verzweifle langsam: mindestens 2 Trojaner (Gromp.A, Gload.I) machen meinem Rechner und mir zu schaffen. Antivir erkennt zwar beide, stürzt aber kurz nach dem Hochfahren ab. Spyware Doctor und Defenza erkennen die Trojaner scheinbar nicht. Möglicherweise hat das Problem mit Windows ME oder MSN Hotmail zu tun?!

Antivir ortete TR/Gload.I in C:\WINDOWS\TEMP\6240.TMP bzw A061.TMP und

TR/Gromp.A in C:\WINDOWS\Profiles\Havana66\Startmenü\Programme\Autostart\W32.exe


Unten angeführt ist das letzte Hijack-Logfile, ich bin für jede Hilfe sehr dankbar!
LG, Valerian


Logfile of HijackThis v1.99.1
Scan saved at 23:20:06, on 18.09.2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMKEYBD.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\KEYBDMGR.EXE
C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE
C:\PROGRAMME\NETROPA\ONE-TOUCH MULTIMEDIA KEYBOARD\MMUSBKB2.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\USBMMKBD.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\PINNACLE\SHARED FILES\INSTANTCDDVD\PCLETRAY.EXE
C:\PROGRAMME\PINNACLE\INSTANTCDDVD\INSTANTWRITE\IWCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PALM\HOTSYNC.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE
C:\WINDOWS\PROFILES\HAVANA66\STARTMENü\PROGRAMME\AUTOSTART\W32.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE
C:\WINDOWS\SYSTEM\CJMON3Q.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {391a72a1-108d-435a-875e-5b9048e11657} - C:\WINDOWS\SYSTEM\ysgi.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [USBMMKBD] usbmmkbd.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [jservice] C:\PROGRAMME\JET2WEB INFORMER\INFORMER.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\SYSTEM\PSDrvCheck.exe
O4 - HKLM\..\Run: [winsockdriver] winservices.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [Keyboard Manager] C:\Programme\Netropa\One-touch Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [Symantec Network Driver Update Warning] C:\PROGRA~1\SYMANTEC\LIVEUP~1\SNDWARN.EXE
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\RunServices: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\RunServices: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\RunServices: [Symantec Network Driver Update Warning] C:\PROGRA~1\SYMANTEC\LIVEUP~1\SNDWARN.EXE
O4 - HKCU\..\RunServices: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - Startup: HOTSYNC MANAGER.LNK = C:\Palm\HOTSYNC.EXE
O4 - Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: w32.exe
O4 - User Startup: HOTSYNC MANAGER.LNK = C:\Palm\HOTSYNC.EXE
O4 - User Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - User Startup: w32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

Mellosun 18.09.2006 23:16
Hallo,

also das sieht mal ganz schlecht aus......

Lasse mal folgende Dateien bei Jotti und Virustotal auswerten. Link in meiner SIG!

C:\WINDOWS\PROFILES\HAVANA66\STARTMENü\PROGRAMME\A UTOSTART\W32.EXE
C:\WINDOWS\SYSTEM\CJMON3Q.EXE
C:\WINDOWS\SYSTEM\ysgi.dll

Poste das Ergebnis. Auch wenn nichts gefunden wird...das Gesamte ergebnis einschließlich der Größe der Datei!


Gruß Mellosun

valerian 19.09.2006 07:54
Besten Dank, Mellosun!

Ich habe die 3 Dateien bei Virustotal und Jotti durchlaufen lassen und es wurde jede Menge Pein gefunden:

1) C:\WINDOWS\PROFILES\HAVANA66\STARTMENü\PROGRAMME\A UTOSTART\W32.EXE :

Complete scanning result of "w32.exe", received in VirusTotal at 09.19.2006, 07:42:06 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.16 09.18.2006 TR/Gromp.A
Authentium 4.93.8 09.18.2006 no virus found
Avast 4.7.844.0 09.15.2006 no virus found
AVG 386 09.18.2006 Generic2.AIZ
BitDefender 7.2 09.19.2006 no virus found
CAT-QuickHeal 8.00 09.18.2006 no virus found
ClamAV devel-20060426 09.19.2006 no virus found
eTrust-InoculateIT 23.72.127 09.16.2006 no virus found
eTrust-Vet 30.3.3084 09.18.2006 no virus found
DrWeb 4.33 09.18.2006 Trojan.GLoad
Ewido 4.0 09.18.2006 Trojan.Gromp.a
Fortinet 2.82.0.0 09.19.2006 W32/Gromp.A!tr
F-Prot 3.16f 09.18.2006 no virus found
F-Prot4 4.2.1.29 09.18.2006 no virus found
Ikarus 0.2.65.0 09.18.2006 no virus found
Kaspersky 4.0.2.24 09.19.2006 Trojan.Win32.Gromp.a
McAfee 4854 09.18.2006 no virus found
Microsoft 1.1560 09.19.2006 no virus found
NOD32v2 1.1761 09.18.2006 Win32/Agent.NDB
Norman 5.80.02 09.18.2006 W32/Agent.AKDD
Panda 9.0.0.4 09.18.2006 no virus found
Sophos 4.09.0 09.19.2006 no virus found
Symantec 8.0 09.19.2006 Trojan.Linkoptimizer
TheHacker 6.0.1.071 09.17.2006 no virus found
UNA 1.83 09.18.2006 Trojan.Win32.Gromp.4CA6
VBA32 3.11.1 09.19.2006 Trojan.Win32.Agent.NDB
VirusBuster 4.3.7:9 09.18.2006 no virus found
Aditional Information
File size: 17408 bytes
MD5: 8daae9a81953768f553099a7911c1597
SHA1: 1f39b365cced525d77c7c785adbacb309d6568bd

Suche bei Jotti: Datei: w32.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -
AntiVir Trojan/Gromp.A gefunden
ArcaVir Trojan.Gromp.A gefunden
Avast Keine Viren gefunden
AVG Antivirus Generic2.AIZ gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.GLoad gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Gromp.A!tr gefunden
Kaspersky Anti-Virus Trojan.Win32.Gromp.a gefunden
NOD32 Win32/Agent.NDB gefunden
Norman Virus Control W32/Agent.AKDD gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.Win32.Agent.NDB gefunden


2) C:\WINDOWS\SYSTEM\CJMON3Q.EXE :

Complete scanning result of "CJMON3Q.EXE", received in VirusTotal at 09.19.2006, 07:49:39 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.16 09.18.2006 no virus found
Authentium 4.93.8 09.18.2006 no virus found
Avast 4.7.844.0 09.15.2006 no virus found
AVG 386 09.18.2006 no virus found
BitDefender 7.2 09.19.2006 no virus found
CAT-QuickHeal 8.00 09.18.2006 no virus found
ClamAV devel-20060426 09.19.2006 no virus found
DrWeb 4.33 09.18.2006 no virus found
eTrust-InoculateIT 23.72.127 09.16.2006 no virus found
eTrust-Vet 30.3.3084 09.18.2006 no virus found
Ewido 4.0 09.18.2006 no virus found
Fortinet 2.82.0.0 09.19.2006 no virus found
F-Prot 3.16f 09.18.2006 no virus found
F-Prot4 4.2.1.29 09.18.2006 no virus found
Ikarus 0.2.65.0 09.18.2006 no virus found
Kaspersky 4.0.2.24 09.19.2006 no virus found
McAfee 4854 09.18.2006 no virus found
Microsoft 1.1560 09.19.2006 no virus found
NOD32v2 1.1761 09.18.2006 no virus found
Norman 5.90.23 09.18.2006 no virus found
Panda 9.0.0.4 09.18.2006 no virus found
Sophos 4.09.0 09.19.2006 no virus found
Symantec 8.0 09.19.2006 no virus found
TheHacker 6.0.1.071 09.17.2006 no virus found
UNA 1.83 09.18.2006 no virus found
VBA32 3.11.1 09.19.2006 no virus found
VirusBuster 4.3.7:9 09.18.2006 no virus found
Aditional Information
File size: 42048 bytes
MD5: 40abe5bb9426594253292ad31a8ebc26
SHA1: 6bf9ee100361af31779e47459caa2563d768a322

Suche von Jotti: Datei CJMON3Q.EXE
Status: OK
Entdeckte Packprogramme: -
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


3) C:\WINDOWS\SYSTEM\ysgi.dll :

Complete scanning result of "ysgi.dll", received in VirusTotal at 09.19.2006, 08:03:01 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.16 09.18.2006 TR/Gload.I
Authentium 4.93.8 09.18.2006 no virus found
Avast 4.7.844.0 09.15.2006 no virus found
AVG 386 09.18.2006 no virus found
BitDefender 7.2 09.19.2006 no virus found
CAT-QuickHeal 8.00 09.18.2006 no virus found
ClamAV devel-20060426 09.19.2006 no virus found
eTrust-InoculateIT 23.72.127 09.16.2006 no virus found
eTrust-Vet 30.3.3084 09.18.2006 no virus found
DrWeb 4.33 09.18.2006 Trojan.GLoad
Ewido 4.0 09.18.2006 no virus found
Fortinet 2.82.0.0 09.19.2006 no virus found
F-Prot 3.16f 09.18.2006 no virus found
F-Prot4 4.2.1.29 09.18.2006 no virus found
Ikarus 0.2.65.0 09.18.2006 no virus found
Kaspersky 4.0.2.24 09.19.2006 Trojan.Win32.Gload.i
McAfee 4854 09.18.2006 no virus found
Microsoft 1.1560 09.19.2006 no virus found
NOD32v2 1.1761 09.18.2006 no virus found
Norman 5.80.02 09.18.2006 no virus found
Panda 9.0.0.4 09.18.2006 no virus found
Sophos 4.09.0 09.19.2006 no virus found
Symantec 8.0 09.19.2006 Trojan.Linkoptimizer
TheHacker 6.0.1.071 09.17.2006 no virus found
UNA 1.83 09.18.2006 no virus found
VBA32 3.11.1 09.19.2006 no virus found
VirusBuster 4.3.7:9 09.18.2006 no virus found
Aditional Information
File size: 12288 bytes
MD5: 10cceb90d3af725e5d70afa62c8c9a43
SHA1: 46f19c8090edccd4ffa5f3f41731bbc07b99325f


Suche bei Jotti: Datei ysgi.dll
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -
AntiVir Trojan/Gload.I gefunden
ArcaVir Trojan.Gload.I gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.GLoad gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan.Win32.Gload.i gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Hoffe, dass es hier noch einigermaßen Abhilfe gibt...

LG,
Valerian

Mellosun 19.09.2006 08:32
Guten Morgen,

also ich weiß nicht, wie wir da am besten weiter machen.

Zitat:

Suche bei Jotti: Datei ysgi.dll

Kaspersky Anti-Virus Trojan.Win32.Gload.i gefunden

sagt Viruslist dazu

Dieses Teil ist Recht neu, entdeckt am 15.09.2006.
Da noch nichts weiter über diesen Freund bekannt ist, könnt es sich zum einen über einen fehlalarm handeln, aber zum anderen auch um einen Trojaner, mit sogenannten Backdoor eigenschaften.

Es gibt jetzt drei möglichkleiten für Dich.

1.: Du machst Dein System Platt und setzt XP Neu auf. Das ist das sicherste und schnellste!
2.: Du schickst die Datei via E-Mail an Kaspersky und lässt sie nochmals genau auswerten. ( Adresse: newvirus@kaspersky.com ) Das sollte nicht lange Dauern!
3.: Du machst einen eScan. Alles dazu findest du Hier mit Anleitung .
Bitte genau Lesen und danach Handeln. Vorallem Punkt 5 der Anleitung ist wichtig, da du nach dem Scan den Raport mit Hilfe der find.zip Posten musst!


Gruß Mellosun


PS: Meine Persönliche Meinung.....Ich würde wohl zu möglichkeit 1. gehen aber erst nachdem ich die Möglichkeit 2 getan habe!

valerian 19.09.2006 09:52
Nochmals besten Dank, Mellosun, Du hast mir bereits sehr geholfen.
Ich werde nach diesen Punkten vorgehen und dann hier berichten.

LG,
Valerian


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131