www.sgrunt.biz Dialer/trojaner?

Hallo Jörgiboy ,

das ist ein Dialer und in der Regel unter
C:\DOKUME~1\deinName\ANWEND~1\sgrunt\IE4321.exe  oder so ähnlich.

Überprüf doch mal mit http://virusscan.jotti.org/de
diese exe.

ansonsten diese datei per diskette sichern für  beweismittel gegen eine hohe  telefonrechnung.

dann ein hjt-log ( www.klaffke.de ) erstellen und posten zur kontrolle und zum fixen/=löschen.

Kann die Datei VOm Laufwerk C nicht löschen, schreibt immer, das sie schreibgeschützt ist (ich mache es aber immer raus) bzw. die Datei gerade verwendet wird. Was soll ich tun? Auch mit diesen hjt-log, da hab ich keine Ahnung was ich machen soll, bin da weniger beleckt damit, nicht so eine Ahnung vom PC.
Wie gehts jetzt weiter?

P.s. wie fängt man sich eigentlich sowas trotz Norton Anti Virus ein?

DAnke und Gruß
Jörg

hallo Jörgiboy,
kein virenscanner ist perfekt und 100% schafft keiner, somit hast du immer ein restrisiko bei solchen sachen.
ist auf jeden fall ein dialer und der muß weg.
geh auf diese datei dann mit rechtsklick auf eigenschaften und heb den schreibschutz auf.

Du schreibst ja "Datei gerade verwendet wird" d.h. der dialer ist gerade aktiv und am laufen und läßt sich im laufenden betrieb nicht löschen.

deswegen schon mal versucht im abgesicherten modus (taste F8)zu löschen :
 www.bsi.bund.de/av/texte/wiederher.htm ).

versuch nach dem löschen mit norton im  abgesicherten modus trotzdem ein hjt-log zu erstellen (beschreibung gibt's dort) und zu posten. evlt. steckt noch mehr dahinter.

mach auch zur sicherheit noch eine datenträgerbereinigung: auch gleich im abgesicherten modus.
Gehe auf Start , dann ausführen -->
reinschreiben : cleanmgr ; dann OK drücken.
klick dort alles an und loesche es (ist gefahrlos möglich):
- übertragene programmdateien
- temporäre internet files
- temporäre internet dateien
  usw.

Auch wenn ich offline bin läßt sich der Schreibschutz zwar rausnehmen, nach ich dann übernehmen und okay drücke steht er trotzdem noch drin.

Kann ich diesen Dialer nicht leichter loswerden und hilft eigentlich meine 0190-Sperre bei der Telekom?

Danke und Gruß
Jörg

Hi Jörgiboy,

prinzipiell kann man seit maerz 05 sogar diese 0190-nummer nun endlich auch kostenlos sperren lassen.
dazu muss man bei der t-com unter 0800 33 01000
anrufen und den antrag dazu stellen. die wollen dazu nur deine tel.nummer, kundenummer und buchungskontonummer
(steht alles auf der telefonrechnung drauf) wissen.
ein paar tage später bekommste dazu eine schriftliche bestätitung + ein merkblatt,wie du an deinem isdn-anschluss das dann selbst machen kannst/musst.

aber würde trotzdem mal mit dem jotti-scan prüfen,um den genauen schädlingsnamen dieser exe zu erfahren.

dann eben im abgesicherten modus scannen und hinterher ein hjtlog machen. fang lieber mal damit an, so locker würde ich das nicht nehmen. ausserdem lernt man auf diese weise auch einiges über seinen pc :-)

Hatte dieses Sch...ding eben auch bei mir auf dem Rechner und bin es "gottseidank" wieder losgeworden.
Such mal in Deiner registry nach dem Eintrag "sgrunt.biz" und schmeiss den Key da raus. Dann musst du noch den Eintrag für "IE431" suchen und löschen. Nein, das war noch nicht alles.^^
Öffne den Taskmanager und beende den Prozess "IE431". Jetzt kannst Du mit der Suchfunktion über Deine komplette!!! HDD gehen und allses, was mit SGRUNT und IE431 zutun hat löschen.

Hi,
der letzte Tip war gut.
Aber wie bekommt man die DFÜ-Netzwerkverbindung danach gelöscht ?
Littlebit

... über Start – Einstellungen – Systemsteuerung – Netzwerkverbindungen und den gewünschten Eintrag löschen.

Aber scanne deinen PC unbedingt zur Kontrollen mit der kostenlosen Software von Ewido.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen, gehe dazu auf
http://www.ewido.net/de/download/updates/

Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Und im Anschluss hiermit.
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen)

Wenn die Malwarescanner was finden, dann Poste bitte die Scan-Protokolle.

Warum das Ganze?
Ich befürchte, das auf dem PC noch mehr Malware vorhanden ist!

Hi,
ich habe es ohne Systemwiederherstellung gemacht.
Das sind die Reports von ewido:
---------------------------------------------------------
 ewido anti-malware - Scan Report
---------------------------------------------------------

 + Erstellt am:      17:22:39, 01.04.2006
 + Report-Checksumme:   9610884E

 + Scanergebnis:

   C:\Program Files\OfficeScan NT\PSKILL.EXE -> Not-A-Virus.NetTool.Win32.PsKill : Gesäubert mit Backup


::Report Ende


Das File befindet sich in Quarantäne:
C:\winnt\downloaded program files\AUTO_155N.exe
Auf dem Desktop befindet sich noch ein Link namens "W1inMoviePlugIn"


Ist da noch was oder passt das so ?
Littlebit

Hi,

der Link "W1inMoviePlugIn" hat mit großer Wahrscheinlichkeit mit einen Trojaner zu tun.
http://www.sophos.de/virusinfo/analyses/dialchivioad.html

Die beiden Online-Scanner hast du wohl noch nicht eingesetzt?
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen)
Bitte hole dies jetzt umgehend nach und wenn die Malwarescanner was finden, dann Poste bitte die Scan-Protokolle.

Auch der HijackThis-Log ist sehr nützlich.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Bitte erstelle mal ein HijackThis-Log.
Gehe dazu auf die Webseite
http://www.hijackthis.de/     
und folge den Anweisungen und poste den Logfile hier.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Teil1
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\CatPC\CatSYS\CatSystemSvc.exe
C:\Program Files\Siemens\CAT Bulletin Board\CBBS.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$SIEMENSSIZER\Binn\sqlservr.exe
C:\Program Files\OfficeScan NT\ntrtscan.exe
C:\Siemens\Step7\S7bin\s7asysvx.exe
C:\Program Files\Common Files\Siemens\S7IEPG\s7oiehsx.exe
C:\Program Files\SecureAccessGUI\SAClient\SAClientSvc.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\OfficeScan NT\tmlisten.exe
C:\Program Files\Common Files\Siemens\sws\almsrv\almsrvx.exe
C:\WINNT\system32\CCM\CcmExec.exe
C:\Program Files\OfficeScan NT\ofcdog.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\Program Files\Siemens\CAT Bulletin Board\CBB.exe
C:\WINNT\Explorer.EXE
C:\WINNT\AGRSMMSG.exe
C:\WINNT\system32\igfxtray.exe
C:\WINNT\system32\hkcmd.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
C:\Program Files\Fujitsu\Hotkey\IndicatorUty.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\LiquidView\lviewj.exe
C:\Program Files\OfficeScan NT\pccntmon.exe
C:\Program Files\OfficeScan NT\RAUAgent.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Siemens\Card API\bin\siecacst.exe
C:\Program Files\QuickTime\qttask.exe
D:\CloneCD\CloneCDTray.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINNT\system32\proquota.exe
C:\Program Files\SecureAccessGUI\SAClient\SAClient.exe
C:\Program Files\SecureAccess\VPNClient\cvpnd.exe
C:\Program Files\SecureAccess\VPNClient\ipseclog.exe
D:\_00_Muell\HijackThis.exe

Teil 2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.siemens.net/cgi-bin/iesearch.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://portal.automation.siemens.com/homepage/erlf80/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von CAT@Siemens XP SP2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxyconf
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
F2 - REG:system.ini: UserInit=CatUInit
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Program Files\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Program Files\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Program Files\Fujitsu\Hotkey\IndicatorUty.exe
O4 - HKLM\..\Run: [LiquidView] C:\Program Files\LiquidView\lviewj.exe -nogui
O4 - HKLM\..\Run: [OfficeScanNT Monitor] C:\Program Files\OfficeScan NT\pccntmon.exe -HideWindow
O4 - HKLM\..\Run: [RemoteAgent] C:\Program Files\OfficeScan NT\RAUAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [AcroTray] "C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe"
O4 - HKLM\..\Run: [SIECACST] C:\Program Files\Siemens\Card API\bin\siecacst.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "D:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [JavaProfileFix3] "C:\Program Files\Java\Profile Fix\JAVA_Fix 3.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [IESiemensSettings] \\WW004.SIEMENS.NET\DFSROOT\LSDP\AP0000073\BR_COMPLETE.bat
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [FileGuard] S:\CADIM\CadimV5_1\axalant\bin\intel-ms-nt4.0\FileGuard.exe
O4 - HKCU\..\Run: [CatUserRun] exec32 /wh /c chgreg5 /c
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://portal.automation.siemens.com/homepage/erlf80/
O15 - Trusted Zone: www.otherchance.com
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: *.sap-ag.de
O15 - Trusted Zone: www.superspots.biz
O15 - Trusted Zone: *.sap-ag.de (HKLM)
O15 - Trusted Zone: *.sap.com (HKLM)
O15 - Trusted Zone: project.siemens.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ww004.siemens.net
O17 - HKLM\Software\..\Telephony: DomainName = ww004.siemens.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC824454-ED26-4E30-8581-F68CBA22C13C}: Domain = erlf.siemens.de ww004.siemens.net siemens.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC824454-ED26-4E30-8581-F68CBA22C13C}: NameServer = 157.163.0.226,157.163.212.208
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ww004.siemens.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = erlf.siemens.de ww004.siemens.net siemens.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ww004.siemens.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = erlf.siemens.de ww004.siemens.net siemens.net
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: Automation License Manager Service (almservice) - SIEMENS AG - C:\Program Files\Common Files\Siemens\sws\almsrv\almsrvx.exe
O23 - Service: CatSystem (CatSystemSvc) - Siemens AG - C:\WINNT\CatPC\CatSYS\CatSystemSvc.exe
O23 - Service: CAT Bulletin Board (CBBS) - Unknown owner - C:\Program Files\Siemens\CAT Bulletin Board\CBBS.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\SecureAccess\VPNClient\cvpnd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\OfficeScan NT\ntrtscan.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\Oracle\Ora92\bin\ONRSD.EXE
O23 - Service: S7 Global Services (s7asysvx) - SIEMENS AG - C:\Siemens\Step7\S7bin\s7asysvx.exe
O23 - Service: SIMATIC IEPG Help Service (s7oiehsx) - SIEMENS AG - C:\Program Files\Common Files\Siemens\S7IEPG\s7oiehsx.exe
O23 - Service: SecureAccess Client (SAClientSvc) - SIEMENS AG - C:\Program Files\SecureAccessGUI\SAClient\SAClientSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Program Files\OfficeScan NT\tmlisten.exe

Ne,

bitte erst die Online-Scanner benützen und dann erst ein neues HijackThis-Log erstellen.
Dann bitte alle drei Log`s  hier posten und nicht wieder den Kopf von HijackThis-Log vergessen.

Frage:
Ist das ein Firmen-PC?
Danach sieht es nämlich sehr aus!

Den Online Scanner kann ich leider nicht starten weil die Sicherheitseinstellungen die ActiveX Steuerelemente nicht zulassen.
Gruß
Littlebit