Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Vundo.Gen - gebca.dll

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.09.2007, 11:50   #1
space_lord
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



hallo,

mich hat auch die vondo-plage erwischt ...
meine selbstversuche ihn zu beseitigen sind leider alle gescheitert - dashalb bitte ich hier um hilfe.
avira antivir erkennt sofort nach dem boot des pcs das hier: C:\WINDOWS\system32\gebca.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen - kann ihn aber nicht löschen.
nach 20 x zugriff verweigern und/oder ignorieren startet windows ...
auch killbox.exe kann die datei (auch nicht bei booten und im abgesicherten modus) löschen.

hier schon mal das HJT log:
!! den gebca.dll eintrag hat es erst angezeigt, nachdem ich hijackthis.exe in "pruefung.com" umbenannt habe !!!!

Logfile of HijackThis v1.99.1
Scan saved at 11:56:14, on 28.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Temp\Pruefung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = =h**p://w*w.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {CA6AD5D6-243D-472E-A544-993E637EBB3D} - C:\WINDOWS\system32\gebca.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O11 - Options group: [INTERNATIONAL] International*
O20 - Winlogon Notify: gebca - C:\WINDOWS\system32\gebca.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Geändert von space_lord (28.09.2007 um 12:05 Uhr)

Alt 28.09.2007, 12:43   #2
myrtille
/// TB-Ausbilder
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



Hi,

Vundo-Dateien sind durch weitere Dateien geschützt und lassen sich daher nicht so leicht entfernen. Daher benutzt du am besten Vundofix:

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.


Erstelle bitte außerdem noch ein Log von filelist:

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Poste bitte die beiden Logs hier im Thread zusammen mit einem neuen Hijackthislog.

lg myrtille
__________________


Alt 28.09.2007, 13:53   #3
space_lord
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



danke für die schnelle antwort !

vundofix habe ich auch schon versucht - konnte ebenfalls die datei nicht löschen - ach nicht beim boot, auch nicht im abgesicherten modus.

hier das log von filelist:

--- Root -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5425-D40E

Verzeichnis von C:\

28.09.2007 11:13 2.097.152.000 pagefile.sys
27.09.2007 00:33 4.646 VundoFix.txt
26.09.2007 08:52 211 boot.ini
27.09.2006 21:14 7 NOTACER.ID


----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5425-D40E

Verzeichnis von C:\WINDOWS\system32

28.09.2007 13:48 416 acbeg.ini
28.09.2007 11:32 4.924 jupdate-1.6.0_02-b06.log
28.09.2007 11:14 55.081 vsconfig.xml
26.09.2007 23:52 249.772 TZLog.log
26.09.2007 23:46 13.646 wpa.dbl
25.09.2007 16:09 693.938 htvkremp.ini
23.09.2007 22:00 693.818 gsstnotm.ini
22.09.2007 00:55 693.578 hqhktdnf.ini
20.09.2007 23:05 695.216 gfnfqvpd.ini
19.09.2007 23:04 695.096 gtowinmc.ini
18.09.2007 17:51 694.915 mgckfsao.ini
17.09.2007 18:57 694.795 ldmghrwk.ini
16.09.2007 12:18 694.556 ofitxcpf.ini
15.09.2007 11:59 694.376 amqlyqia.ini
13.09.2007 19:35 694.255 xftfsoyh.ini
12.09.2007 17:02 694.016 actymlpo.ini
11.09.2007 17:24 693.776 wsltnoxr.ini
10.09.2007 09:33 693.595 gkfdohlb.ini
08.09.2007 14:35 693.596 jctjrtlt.ini
06.09.2007 20:34 624.887 ojnmrjta.ini
06.09.2007 19:35 641.494 suarsqge.ini
05.09.2007 19:50 17.474.680 MRT.exe
04.09.2007 19:02 739.392 goworcfl.ini
03.09.2007 19:05 739.212 anonwsin.ini
02.09.2007 18:34 1.291.340 eyijmqjw.ini
01.09.2007 15:02 1.291.041 rtiqnmcv.ini

----- Prefetch -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5425-D40E

Verzeichnis von C:\WINDOWS\Prefetch

28.09.2007 13:48 15.080 CMD.EXE-087B4001.pf
28.09.2007 13:48 15.920 NOTEPAD.EXE-336351A9.pf
28.09.2007 13:47 72.916 WINRAR.EXE-3588DFE8.pf
28.09.2007 13:47 96.330 FIREFOX.EXE-1D57670A.pf
28.09.2007 13:45 72.100 OUTLOOK.EXE-179DEC04.pf
28.09.2007 13:26 65.412 WMPLAYER.EXE-09969339.pf
28.09.2007 13:04 59.326 WMIPRVSE.EXE-28F301A9.pf
28.09.2007 13:04 95.726 WUAUCLT.EXE-399A8E72.pf
28.09.2007 12:19 11.582 VERCLSID.EXE-3667BD89.pf
28.09.2007 12:17 18.074 GUARDGUI.EXE-1BD45C30.pf
28.09.2007 11:50 16.522 HIJACKTHIS.EXE-0DC625F6.pf
28.09.2007 11:50 18.058 TASKMGR.EXE-20256C55.pf
28.09.2007 11:39 11.676 CACLS.EXE-25504E4A.pf
28.09.2007 11:39 62.684 AVSCAN.EXE-05AECC0E.pf
28.09.2007 11:34 124.580 AVNOTIFY.EXE-22AE9451.pf
28.09.2007 11:31 91.298 MSIEXEC.EXE-2F8A8CAE.pf
28.09.2007 11:30 75.106 UPDCLIENT.EXE-215FC96B.pf
28.09.2007 11:21 55.432 INTEGRATOR.EXE-3967D297.pf
28.09.2007 11:20 71.508 RUNDLL32.EXE-13404D23.pf
28.09.2007 11:15 14.992 CTFMON.EXE-0E17969B.pf
28.09.2007 11:15 757.292 NTOSBOOT-B00DFAAD.pf
28.09.2007 11:12 21.050 LOGONUI.EXE-0AF22957.pf
28.09.2007 11:12 65.238 AVCENTER.EXE-37584419.pf
28.09.2007 10:56 21.768 EXPLORER.EXE-082F38A9.pf
28.09.2007 10:55 22.310 REGSVR32.EXE-25EEFE2F.pf
28.09.2007 10:53 44.774 SMAX4PNP.EXE-2279C3AD.pf
28.09.2007 10:53 20.212 ATIPTAXX.EXE-12B5048A.pf
28.09.2007 10:53 36.528 ZLCLIENT.EXE-0120F620.pf
28.09.2007 10:53 6.468 ATIPRBXX.EXE-2EF3CAC1.pf
27.09.2007 20:17 118.150 WOW.EXE-0A286CF2.pf
27.09.2007 19:44 66.650 TEAMSPEAK.EXE-1C1FA5B1.pf
27.09.2007 17:53 70.042 WINWORD.EXE-0AEA99D4.pf
27.09.2007 17:50 25.372 RUNDLL32.EXE-451FC2C0.pf
27.09.2007 17:47 16.644 IMAPI.EXE-0BF740A4.pf
27.09.2007 17:46 81.922 NERO.EXE-32314E31.pf
27.09.2007 17:10 59.874 AVGNT.EXE-36CA4640.pf
27.09.2007 17:10 29.304 SMAX4.EXE-2B732B8E.pf
27.09.2007 16:06 62.634 UPDATE.EXE-0D35AD82.pf
27.09.2007 16:06 101.476 FIREFOX.EXE-17EE503B.pf
27.09.2007 01:01 57.166 LAUNCHER.EXE-01279493.pf
27.09.2007 01:00 46.218 IEXPLORE.EXE-2CA9778D.pf
27.09.2007 00:46 99.252 POWERDVD.EXE-35D9A3BA.pf
27.09.2007 00:46 10.110 OLRSTATECHECK.EXE-1F860D6C.pf
27.09.2007 00:39 35.384 DIVXSM.EXE-3407AB62.pf
27.09.2007 00:38 174.506 WMPLAYER.EXE-0996933A.pf
27.09.2007 00:33 12.710 REGEDIT.EXE-1B606482.pf
27.09.2007 00:33 10.236 VUNDOFIXSVC.EXE-18ADD79E.pf
27.09.2007 00:33 11.516 SHUTDOWN.EXE-12DAD820.pf
27.09.2007 00:33 19.082 VUNDOFIX.EXE-15B6622A.pf
26.09.2007 22:19 53.206 UPDATE.EXE-08061380.pf
26.09.2007 22:16 53.340 UPDATE.EXE-39E17E08.pf
26.09.2007 22:08 19.236 SPUNINST.EXE-1E5EAF9E.pf
26.09.2007 22:08 16.074 MSFEEDSSYNC.EXE-25E13438.pf
26.09.2007 22:08 37.236 IESETUP.EXE-1ADFF9C0.pf
26.09.2007 22:07 56.656 IE7-WINDOWSXP-X86-DEU_2.EXE-2130235E.pf
26.09.2007 22:04 30.232 RUNDLL32.EXE-3910966A.pf
26.09.2007 22:03 23.952 RUNDLL32.EXE-478066E2.pf
26.09.2007 22:03 15.344 RUNDLL32.EXE-14B29E97.pf
26.09.2007 22:03 45.112 RUNDLL32.EXE-2D08F0BC.pf
26.09.2007 22:00 46.008 RUNDLL32.EXE-12672621.pf
26.09.2007 22:00 35.894 RUNDLL32.EXE-12D2C527.pf
26.09.2007 22:00 30.708 RUNDLL32.EXE-125C598E.pf
26.09.2007 22:00 37.928 RUNDLL32.EXE-135E9194.pf
26.09.2007 21:59 20.186 RUNDLL32.EXE-29A2BA7C.pf
26.09.2007 21:58 30.006 WUPDMGR.EXE-2F30BEAB.pf
26.09.2007 21:50 27.856 WOW-2.1.3.6898-TO-2.2.0.7272--2C3AA9FF.pf
26.09.2007 21:49 52.044 UPDATE.EXE-13D57D76.pf
26.09.2007 21:49 21.470 PREUPD.EXE-358AA1C1.pf
26.09.2007 21:43 7.042 HIJACKTHIS.EXE-276ED821.pf
26.09.2007 21:42 28.108 DRWTSN32.EXE-2B4B52AC.pf
26.09.2007 21:42 8.190 HIJACKTHIS.EXE-3432A30E.pf
26.09.2007 21:21 58.008 DFRGNTFS.EXE-269967DF.pf
26.09.2007 21:21 19.874 DEFRAG.EXE-273F131E.pf
26.09.2007 21:21 332.732 Layout.ini
26.09.2007 21:02 17.026 TOOL_DE.COM-256BD612.pf
26.09.2007 20:58 14.598 _IU14D2N.TMP-2686A517.pf
26.09.2007 20:58 15.660 UNINS000.EXE-21ACA383.pf
26.09.2007 20:56 11.454 SC.EXE-012262AF.pf
26.09.2007 20:55 28.272 ANTISPYWAREBOT.EXE-07DB7959.pf
26.09.2007 20:55 19.404 LAUNCHER.EXE-24226EC9.pf
26.09.2007 20:55 19.754 IS-QH673.TMP-1AF51571.pf
26.09.2007 20:55 17.404 SETUP.EXE-2DDE7099.pf
26.09.2007 10:06 17.150 CTDETECT.EXE-2501E4F9.pf
26.09.2007 10:00 60.624 CTCMS.EXE-02942F66.pf
26.09.2007 09:00 28.654 MSCONFIG.EXE-35E4DAE9.pf
25.09.2007 22:53 27.476 BACKGROUNDDOWNLOADER.EXE-11504D59.pf
25.09.2007 19:25 71.038 STARTUPMANAGER.EXE-2D368FFC.pf
25.09.2007 17:30 49.954 AVGUARD.EXE-3490B18B.pf
25.09.2007 17:26 23.502 HIJACKTHIS.EXE-033E6CBD.pf
25.09.2007 17:26 35.016 AD-AWARE.EXE-308139F4.pf
25.09.2007 17:19 48.280 XPCLEAN.EXE-3A68A896.pf
25.09.2007 17:19 88.958 ACDSEE6.EXE-053FB6EE.pf
25.09.2007 16:49 9.182 UNINSTALL.EXE-15278D8E.pf
25.09.2007 16:49 37.514 WRAR371D.EXE-35650B7E.pf
25.09.2007 16:29 38.304 NAPSTERHELPER.EXE-0D297AE6.pf
25.09.2007 16:28 73.872 NAPSTER.EXE-2B6A5F0E.pf
25.09.2007 16:26 31.248 IDRIVER.EXE-01082F70.pf
25.09.2007 16:26 26.050 SETUP.EXE-21579349.pf
25.09.2007 16:26 3.294 MSI1C.TMP-09475ECD.pf
25.09.2007 16:26 21.198 IDRIVER.EXE-2E776D3F.pf
25.09.2007 16:25 19.852 NAPSTERSETUP-DE-3.8.1.4[1].EX-0A17F5E8.pf
25.09.2007 16:14 30.040 DB0921.EXE-092E297F.pf
25.09.2007 16:10 37.930 ALG.EXE-0F138680.pf
23.09.2007 22:03 6.248 BNUPDATE.EXE-19B05C6C.pf
23.09.2007 22:03 36.826 INSTALLER.EXE-15E882F9.pf
22.09.2007 13:19 19.000 THEMAT~1.SCR-177DEDE6.pf
21.09.2007 17:15 75.476 REGISTRYCLEANER.EXE-17B6D63B.pf
21.09.2007 17:15 49.240 SYSTEMOPTIMIZER.EXE-2D3174F1.pf
21.09.2007 17:07 17.714 RUNDLL32.EXE-12E27DD0.pf
20.09.2007 23:07 261.098 HELPSVC.EXE-2878DDA2.pf
20.09.2007 19:34 29.374 SETUP_WM.EXE-19AC5A9B.pf
20.09.2007 19:34 5.392 WMPLAYER.EXE-0996933B.pf
19.09.2007 23:13 20.746 RUNDLL32.EXE-3D23E00F.pf
19.09.2007 23:13 66.222 PHOTODRW.EXE-07B519DB.pf
18.09.2007 23:56 79.178 QUICKTIMEPLAYER.EXE-1683395B.pf
17.09.2007 22:33 85.362 ACRORD32.EXE-0EC716D9.pf
12.09.2007 17:35 126.622 SKYPE.EXE-21F19BC8.pf
09.09.2007 16:40 19.776 A~NSISU_.EXE-2803C88F.pf
09.09.2007 16:40 16.510 UNINST.EXE-2F90677E.pf
09.09.2007 16:37 22.540 NETSTUMBLER.EXE-11771F6A.pf
09.09.2007 16:37 39.926 HH.EXE-2D1A70B3.pf
09.09.2007 16:37 18.942 NETSTUMBLERINSTALLER_0_4_0.EX-18512D04.pf
08.09.2007 15:17 28.914 SCHED.EXE-236A886F.pf
08.09.2007 15:16 40.738 UPDATE.EXE-339B55B3.pf
08.09.2007 15:13 54.526 DISKDOCTOR.EXE-0F7C3625.pf
08.09.2007 14:41 13.780 NET1.EXE-029B9DB4.pf
08.09.2007 14:41 13.358 NET.EXE-01A53C2F.pf
08.09.2007 14:36 59.810 SVCHOST.EXE-3530F672.pf
04.09.2007 19:51 72.458 DBLOCALSERVER.EXE-1799E8E2.pf
04.09.2007 19:27 96.402 REALPLAY.EXE-39F79CBD.pf
130 Datei(en) 6.573.538 Bytes
0 Verzeichnis(se), 8.823.316.480 Bytes frei

----- Windows --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5425-D40E

Verzeichnis von C:\WINDOWS

28.09.2007 13:04 1.250.028 WindowsUpdate.log
28.09.2007 11:14 0 0.log
28.09.2007 11:13 159 wiadebug.log
28.09.2007 11:13 50 wiaservc.log
28.09.2007 11:13 2.048 bootstat.dat
28.09.2007 10:59 643.870 ntbtlog.txt
28.09.2007 10:58 32.634 SchedLgU.Txt
27.09.2007 16:21 60 setupact.log
27.09.2007 16:14 85.550 setupapi.log
27.09.2007 16:10 9.943 iis6.log
27.09.2007 16:10 20.705 comsetup.log
27.09.2007 16:10 12.552 ntdtcsetup.log
27.09.2007 16:10 1.374 imsins.log
27.09.2007 16:10 23.590 tsoc.log
27.09.2007 16:10 3.420 ocmsn.log
27.09.2007 16:10 48.962 KB937143-IE7.log
27.09.2007 16:10 29.160 ocgen.log
27.09.2007 16:10 3.030 msgsocm.log
27.09.2007 16:10 61.829 FaxSetup.log
27.09.2007 16:09 45.024 updspapi.log
27.09.2007 16:09 1.374 imsins.BAK
27.09.2007 16:09 60.329 KB938127-IE7.log
27.09.2007 00:07 7.939 spupdsvc.log
26.09.2007 23:53 61.510 KB936021.log
26.09.2007 23:53 57.930 KB938828.log
26.09.2007 23:53 60.383 KB921503.log
26.09.2007 23:53 56.802 KB938829.log
26.09.2007 23:53 8.146 KB939683.log
26.09.2007 23:52 45.854 KB933360.log
26.09.2007 23:52 290.278 msxml4-KB936181-enu.LOG
26.09.2007 23:52 8.388 KB936782.log
26.09.2007 23:52 1.017 wmsetup.log
26.09.2007 23:48 31.930 ie7_main.log
26.09.2007 23:48 50.052 ie7.log
26.09.2007 23:46 7.179 IDNMitigationAPIs.log
26.09.2007 23:45 7.235 NLSDownlevelMapping.log
26.09.2007 23:45 6.145 KB915865.log
26.09.2007 23:43 707 iereseticons.log
26.09.2007 22:14 29.096 ie7Uninst.log
26.09.2007 08:52 661 win.ini
26.09.2007 08:52 227 system.ini
23.09.2007 22:15 116 NeroDigital.ini
18.09.2007 23:38 54.156 QTFont.qfn
06.09.2007 19:53 111 telephon.ini


----- Tasks ----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5425-D40E

Verzeichnis von C:\WINDOWS\tasks

28.09.2007 11:13 6 SA.DAT
26.09.2007 20:55 506 AntiSpywareBot Scheduled Scan.job
21.09.2007 17:15 398 1-Klick-Wartung.job
18.08.2001 14:00 65 desktop.ini
4 Datei(en) 975 Bytes
0 Verzeichnis(se), 8.823.308.288 Bytes frei

----- Wintemp --------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5425-D40E

Verzeichnis von C:\WINDOWS\temp

28.09.2007 11:13 256 ZLT0212b.TMP
28.09.2007 11:13 256 ZLT02125.TMP
28.09.2007 11:10 256 ZLT01ea4.TMP
28.09.2007 11:10 256 ZLT01e9e.TMP
27.09.2007 17:08 256 ZLT062d1.TMP
27.09.2007 00:34 256 ZLT06a0a.TMP
27.09.2007 00:34 256 ZLT06a07.TMP
27.09.2007 00:31 256 ZLT06753.TMP
27.09.2007 00:31 256 ZLT0674f.TMP
27.09.2007 00:07 256 ZLT0551b.TMP
27.09.2007 00:07 256 ZLT05518.TMP
26.09.2007 23:49 256 ZLT04786.TMP
26.09.2007 23:49 256 ZLT0477f.TMP
26.09.2007 20:49 256 ZLT03d42.TMP
26.09.2007 10:54 256 ZLT075f4.TMP
26.09.2007 10:54 256 ZLT075ed.TMP
26.09.2007 10:24 256 ZLT05ed0.TMP
26.09.2007 10:24 256 ZLT05ec6.TMP
26.09.2007 10:12 256 ZLT055d2.TMP
26.09.2007 10:12 256 ZLT055ce.TMP
26.09.2007 10:08 256 ZLT052f3.TMP
26.09.2007 10:08 256 ZLT052f0.TMP
26.09.2007 08:58 256 ZLT01d5c.TMP
26.09.2007 08:58 256 ZLT01d52.TMP
26.09.2007 08:53 256 ZLT01972.TMP
26.09.2007 08:53 256 ZLT0196e.TMP
26.09.2007 08:39 256 ZLT00eef.TMP
26.09.2007 08:39 256 ZLT00ee5.TMP
25.09.2007 19:11 256 ZLT0245c.TMP
25.09.2007 17:23 256 ZLT051d7.TMP
25.09.2007 16:09 256 ZLT018c2.TMP
25.09.2007 16:08 256 ZLT018a5.TMP
21.09.2007 16:57 256 ZLT004e6.TMP
21.09.2007 16:57 256 ZLT004e0.TMP
18.09.2007 17:51 256 ZLT04409.TMP
17.09.2007 18:56 256 ZLT0281c.TMP
17.09.2007 18:56 256 ZLT027fb.TMP
17.09.2007 07:01 256 ZLT00480.TMP
17.09.2007 07:01 256 ZLT00463.TMP
16.09.2007 12:18 256 ZLT028af.TMP
12.09.2007 19:30 256 ZLT03ac7.TMP
11.09.2007 17:23 256 ZLT00bcd.TMP
10.09.2007 09:33 256 ZLT055ca.TMP
09.09.2007 12:33 256 ZLT011d8.TMP
08.09.2007 15:13 0 Upd25.tmp
08.09.2007 14:50 0 Upd20.tmp
08.09.2007 14:21 0 Upd1F.tmp
06.09.2007 19:33 256 ZLT068a6.TMP
06.09.2007 19:33 256 ZLT068a2.TMP


----- Temp -----------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5425-D40E

Verzeichnis von C:\DOKUME~1\****\LOKALE~1\Temp

28.09.2007 13:48 143.767 filelist.txt
28.09.2007 11:32 636 java_install_reg.log
28.09.2007 11:30 0 java_install.log
27.09.2007 00:38 16.384 Perflib_Perfdata_20c.dat
27.09.2007 00:32 32.768 ~DFD50F.tmp
27.09.2007 00:18 32.768 ~DFAD29.tmp
26.09.2007 23:53 32.768 ~DF393B.tmp
26.09.2007 21:50 32.768 ~DFB9A0.tmp
26.09.2007 21:43 16.384 ~DF11ED.tmp
26.09.2007 21:42 16.384 ~DF8F80.tmp
26.09.2007 20:55 748.377 _iu14D2N.tmp
26.09.2007 10:26 32.768 ~DFA857.tmp
26.09.2007 10:14 32.768 ~DFFCA3.tmp
26.09.2007 10:10 32.768 ~DFFF68.tmp
26.09.2007 10:00 16.384 Perflib_Perfdata_210.dat
26.09.2007 09:07 32.768 ~DF55B9.tmp
__________________

Alt 28.09.2007, 13:57   #4
myrtille
/// TB-Ausbilder
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



Hi,
reiche bitte für den Ordner C:\Windows\system32 doch die letzten 3 Monate nach. Die Infizierung scheint schon länger zurückzuliegen.
Die genannte Datei gebca.dll ist vorerst jedoch nicht zu sehen. Sicher, dass sie noch existiert?
Poste bitte troztdem noch den vundofix-log

lg myrtille

Alt 28.09.2007, 14:05   #5
space_lord
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



ja - leider . die gebca.dll existiert noch ... :-(

hier das vundofix log (mehrmals versucht)

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 09:07:40 26.09.2007

Listing files found while scanning....

C:\WINDOWS\system32\acbeg.bak2
C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\acbeg.ini2
C:\windows\system32\cnglxtlo.ini
C:\WINDOWS\system32\gebca.dll
C:\windows\system32\oltxlgnc.dll
C:\windows\system32\xdvucfmd.exe

Beginning removal...

Attempting to delete C:\WINDOWS\system32\acbeg.bak2
C:\WINDOWS\system32\acbeg.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\acbeg.ini2
C:\WINDOWS\system32\acbeg.ini2 Has been deleted!

Attempting to delete C:\windows\system32\cnglxtlo.ini
C:\windows\system32\cnglxtlo.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Attempting to delete C:\windows\system32\oltxlgnc.dll
C:\windows\system32\oltxlgnc.dll Has been deleted!

Attempting to delete C:\windows\system32\xdvucfmd.exe
C:\windows\system32\xdvucfmd.exe Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 10:14:55 26.09.2007

Listing files found while scanning....

C:\WINDOWS\system32\acbeg.bak1
C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\gebca.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\acbeg.bak1
C:\WINDOWS\system32\acbeg.bak1 Has been deleted!

Attempting to delete C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 10:45:30 26.09.2007

Listing files found while scanning....

C:\windows\system32\acbeg.ini
C:\WINDOWS\system32\gebca.dll

Beginning removal...

Attempting to delete C:\windows\system32\acbeg.ini
C:\windows\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 23:53:35 26.09.2007

Listing files found while scanning....

C:\windows\system32\acbeg.bak2
C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\gebca.dll

Beginning removal...

Attempting to delete C:\windows\system32\acbeg.bak2
C:\windows\system32\acbeg.bak2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 00:23:16 27.09.2007

Listing files found while scanning....


VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 00:27:25 27.09.2007

Listing files found while scanning....

C:\windows\system32\acbeg.ini
C:\WINDOWS\system32\gebca.dll

Beginning removal...

Attempting to delete C:\windows\system32\acbeg.ini
C:\windows\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!


************

und hier das filelist log > 30 tage (alles 2007):

----- System32 -------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5425-D40E

Verzeichnis von C:\WINDOWS\system32

28.09.2007 14:08 416 acbeg.ini
28.09.2007 11:32 4.924 jupdate-1.6.0_02-b06.log
28.09.2007 11:14 55.081 vsconfig.xml
26.09.2007 23:52 249.772 TZLog.log
26.09.2007 23:46 13.646 wpa.dbl
25.09.2007 16:09 693.938 htvkremp.ini
23.09.2007 22:00 693.818 gsstnotm.ini
22.09.2007 00:55 693.578 hqhktdnf.ini
20.09.2007 23:05 695.216 gfnfqvpd.ini
19.09.2007 23:04 695.096 gtowinmc.ini
18.09.2007 17:51 694.915 mgckfsao.ini
17.09.2007 18:57 694.795 ldmghrwk.ini
16.09.2007 12:18 694.556 ofitxcpf.ini
15.09.2007 11:59 694.376 amqlyqia.ini
13.09.2007 19:35 694.255 xftfsoyh.ini
12.09.2007 17:02 694.016 actymlpo.ini
11.09.2007 17:24 693.776 wsltnoxr.ini
10.09.2007 09:33 693.595 gkfdohlb.ini
08.09.2007 14:35 693.596 jctjrtlt.ini
06.09.2007 20:34 624.887 ojnmrjta.ini
06.09.2007 19:35 641.494 suarsqge.ini
05.09.2007 19:50 17.474.680 MRT.exe
04.09.2007 19:02 739.392 goworcfl.ini
03.09.2007 19:05 739.212 anonwsin.ini
02.09.2007 18:34 1.291.340 eyijmqjw.ini
01.09.2007 15:02 1.291.041 rtiqnmcv.ini
31.08.2007 16:38 1.284.255 hthsatds.ini
30.08.2007 17:23 1.284.015 dteplfdb.ini
28.08.2007 16:00 1.249.368 gceujpgv.ini
28.08.2007 16:00 1.255.189 yghinduo.ini
27.08.2007 15:24 465 vivotyom.ini
12.08.2007 11:50 1.214.081 tacfocui.ini
06.08.2007 22:19 311.604 perfh009.dat
06.08.2007 22:19 316.594 perfh007.dat
06.08.2007 22:19 48.156 perfc007.dat
06.08.2007 22:19 39.992 perfc009.dat
06.08.2007 22:19 721.390 PerfStringBackup.INI
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
29.07.2007 19:01 200.936 FNTCACHE.DAT
29.07.2007 18:44 4.212 zllictbl.dat
19.07.2007 08:56 3.583.488 mshtml.dll
18.07.2007 14:42 60.416 tzchange.exe
12.07.2007 02:22 139.264 javaws.exe
12.07.2007 02:22 69.632 javacpl.cpl
12.07.2007 01:22 135.168 javaw.exe
12.07.2007 01:22 135.168 java.exe
27.06.2007 16:05 823.808 wininet.dll
27.06.2007 16:05 232.960 webcheck.dll
27.06.2007 16:05 1.152.000 urlmon.dll
27.06.2007 16:05 105.984 url.dll
27.06.2007 16:05 671.232 mstime.dll
27.06.2007 16:05 102.400 occache.dll
27.06.2007 16:05 193.024 msrating.dll
27.06.2007 16:05 477.696 mshtmled.dll
27.06.2007 16:05 52.224 msfeedsbs.dll
27.06.2007 16:05 459.264 msfeeds.dll
27.06.2007 16:05 1.824.256 inetcpl.cpl
27.06.2007 16:05 27.648 jsproxy.dll
27.06.2007 16:04 267.776 iertutil.dll
27.06.2007 16:04 6.058.496 ieframe.dll
27.06.2007 16:04 44.544 iernonce.dll
27.06.2007 16:04 384.512 iedkcs32.dll
27.06.2007 16:04 383.488 ieapfltr.dll
27.06.2007 16:04 230.400 ieaksie.dll
27.06.2007 16:04 153.088 ieakeng.dll
27.06.2007 16:04 124.928 advpack.dll
27.06.2007 16:04 132.608 extmgr.dll
27.06.2007 10:27 13.824 ieudinit.exe
27.06.2007 10:27 63.488 ie4uinit.exe
27.06.2007 09:00 161.792 ieakui.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
11.06.2007 23:51 10.834.944 wmp.dll
17.05.2007 13:28 549.376 oleaut32.dll
16.05.2007 17:11 683.520 inetcomm.dll
16.05.2007 09:41 29.704 uxtuneup.dll
08.05.2007 15:03 1.275.392 msxml4.dll
25.04.2007 16:22 144.896 schannel.dll
24.04.2007 11:32 1.485.696 LegitCheckControl.dll
23.04.2007 02:15 1.044.480 libdivx.dll
23.04.2007 02:15 200.704 ssldivx.dll
18.04.2007 18:13 2.854.400 msi.dll
17.04.2007 11:32 2.455.488 ieapfltr.dat
16.04.2007 17:53 1.058.304 kernel32.dll
22.03.2007 21:05 520.192 ati2sgag.exe
17.03.2007 15:44 293.376 winsrv.dll
15.03.2007 03:58 315.392 ATIDEMGX.dll
15.03.2007 03:57 267.776 ati2dvag.dll
15.03.2007 03:55 307.200 atiiiexx.dll
15.03.2007 03:50 122.880 atipdlxx.dll
15.03.2007 03:50 114.688 Oemdspif.dll
15.03.2007 03:50 26.112 Ati2mdxx.exe
15.03.2007 03:50 42.496 ati2edxx.dll
15.03.2007 03:49 114.688 ati2evxx.dll
15.03.2007 03:48 450.560 ati2evxx.exe
15.03.2007 03:47 53.248 ATIDDC.DLL
15.03.2007 03:40 2.820.544 ati3duag.dll
15.03.2007 03:29 1.315.712 ativvaxx.dll
15.03.2007 03:19 5.402.624 atioglxx.dll
15.03.2007 03:16 258.048 atikvmag.dll
15.03.2007 03:14 17.408 atitvo32.dll
15.03.2007 03:10 356.352 ati2cqag.dll
14.03.2007 20:01 16.832 amcompat.tlb
14.03.2007 20:01 23.392 nscompat.tlb
09.03.2007 13:51 270.336 xpsp3res.dll
09.03.2007 01:02 54.936 vsutil_loc0407.dll
09.03.2007 01:02 18.072 imslsp_install_loc0407.dll
09.03.2007 01:02 22.168 imsinstall_loc0407.dll
09.03.2007 01:02 394.192 vsdatant.sys
09.03.2007 01:01 1.087.216 zpeng24.dll
09.03.2007 01:01 71.408 zlcommdb.dll
09.03.2007 01:01 100.080 vsxml.dll
09.03.2007 01:01 83.696 zlcomm.dll
09.03.2007 01:01 46.832 vswmi.dll
09.03.2007 01:01 472.816 vsutil.dll
09.03.2007 01:01 71.408 vsregexp.dll
09.03.2007 01:01 276.208 vspubapi.dll
09.03.2007 01:01 104.176 vsmonapi.dll
09.03.2007 01:01 157.424 vsinit.dll
09.03.2007 01:01 83.696 vsdata.dll
09.03.2007 01:01 796.312 libeay32_0.9.6l.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
08.03.2007 07:09 1.040.384 ieframe.dll.mui
07.03.2007 00:04 143.676 atiicdxx.dat
28.02.2007 18:02 2.138.624 ntoskrnl.exe
28.02.2007 18:02 2.018.304 ntkrnlpa.exe
16.02.2007 19:04 7.072 atifglpf.xml
05.02.2007 22:18 185.856 upnphost.dll
23.01.2007 21:30 546.304 hhctrl.ocx


Alt 28.09.2007, 14:40   #6
myrtille
/// TB-Ausbilder
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



Hi,
Hast du versucht gebca.dll im abgesicherten Modus (ohne Killbox) per Hand zu löschen? Hat das auch nicht funktioniert?

lg myrtille

Geändert von myrtille (28.09.2007 um 15:00 Uhr)

Alt 28.09.2007, 15:11   #7
space_lord
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



PM beantwortet :-)
nö - auch manuell lässt sich die dll nicht löschen ....

Alt 28.09.2007, 15:22   #8
myrtille
/// TB-Ausbilder
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



Hi,
versuch mal Folgendes um meine Neugier zu befriedigen:

Lösche folgende Dateien:
Zitat:
28.09.2007 14:08 416 acbeg.ini
25.09.2007 16:09 693.938 htvkremp.ini
23.09.2007 22:00 693.818 gsstnotm.ini
22.09.2007 00:55 693.578 hqhktdnf.ini
20.09.2007 23:05 695.216 gfnfqvpd.ini
19.09.2007 23:04 695.096 gtowinmc.ini
18.09.2007 17:51 694.915 mgckfsao.ini
17.09.2007 18:57 694.795 ldmghrwk.ini
16.09.2007 12:18 694.556 ofitxcpf.ini
15.09.2007 11:59 694.376 amqlyqia.ini
13.09.2007 19:35 694.255 xftfsoyh.ini
12.09.2007 17:02 694.016 actymlpo.ini
11.09.2007 17:24 693.776 wsltnoxr.ini
10.09.2007 09:33 693.595 gkfdohlb.ini
08.09.2007 14:35 693.596 jctjrtlt.ini
06.09.2007 20:34 624.887 ojnmrjta.ini
06.09.2007 19:35 641.494 suarsqge.ini
04.09.2007 19:02 739.392 goworcfl.ini
03.09.2007 19:05 739.212 anonwsin.ini
02.09.2007 18:34 1.291.340 eyijmqjw.ini
01.09.2007 15:02 1.291.041 rtiqnmcv.ini
31.08.2007 16:38 1.284.255 hthsatds.ini
30.08.2007 17:23 1.284.015 dteplfdb.ini
28.08.2007 16:00 1.249.368 gceujpgv.ini
28.08.2007 16:00 1.255.189 yghinduo.ini
27.08.2007 15:24 465 vivotyom.ini
12.08.2007 11:50 1.214.081 tacfocui.ini
(Erstmal im normalen Modus, wenn das nicht klappt, dann im abgesicherten Modus.)

und lass danach nochmal Vundofix durchlaufen und poste das Logfile hier.

lg myrtille

Alt 28.09.2007, 16:20   #9
space_lord
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



die INI dateien konnten ohne probleme gelöscht werden.

dann vundofix: aber wieder nix !! wuuuaaaaaah (*heul*)
es gibt eine datei, die immer wieder auftaucht, obwohl ich sie dauernd lösche : acbeg.ini

hier das log:

VundoFix V6.5.9

Checking Java version...

Sun Java not detected
Scan started at 16:05:08 28.09.2007

Listing files found while scanning....

C:\windows\system32\acbeg.ini
C:\WINDOWS\system32\gebca.dll

Beginning removal...

Attempting to delete C:\windows\system32\acbeg.ini
C:\windows\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\windows\system32\acbeg.ini
C:\windows\system32\acbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\system32\gebca.dll Could not be deleted.

Performing Repairs to the registry.
Done!

Alt 28.09.2007, 16:59   #10
myrtille
/// TB-Ausbilder
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



Gut, ich hatte leider auch nicht viel anderes erwartet.
Probiere bitte noch folgendes Tool aus:

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Poste danach das Log von Combofix und nochmal ein neues filelistlog des system32-ordners der letzten 30 Tage.

lg myrtille

Alt 28.09.2007, 17:26   #11
space_lord
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



hui, das sieht schon sehr gut aus - nach dem boot von combofix wurde (bisher) kein virus mehr von antivir gefunden ...

das log von filelist:
Verzeichnis von C:\WINDOWS\system32

28.09.2007 17:24 55.081 vsconfig.xml
28.09.2007 11:32 4.924 jupdate-1.6.0_02-b06.log
26.09.2007 23:52 249.772 TZLog.log
26.09.2007 23:46 13.646 wpa.dbl
05.09.2007 19:50 17.474.680 MRT.exe

combofix log:
ComboFix 07-09-21.2 - "Rainer" 2007-09-28 17:17:50.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1680 [GMT 2:00]
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Log\2007 Sep 26 - 08_55_50 PM_406.log
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Log\2007 Sep 26 - 08_55_52 PM_921.log
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\rs.dat
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\CustomScan.stg
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\IgnoreList.stg
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\ScanInfo.stg
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\ScanResults.stg
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\SelectedFolders.stg
C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\Settings.stg
C:\WINDOWS\system32\acbeg.ini
C:\WINDOWS\system32\components
C:\WINDOWS\system32\components\flx0.dll
C:\WINDOWS\system32\components\flx1.dll
C:\WINDOWS\system32\components\flx2.dll
C:\WINDOWS\system32\components\flx3.dll
C:\WINDOWS\system32\gebca.dll
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((( Dateien erstellt von 2007-08-28 bis 2007-09-28 ))))))))))))))))))))))))))))))
.

2007-09-28 17:16 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-28 16:28 <DIR> d-------- C:\Temp\backups
2007-09-28 14:54 <DIR> d-------- C:\Temp\troj_board
2007-09-27 16:07 73,728 --a------ C:\KillBox.exe
2007-09-26 21:42 218,112 --a------ C:\Temp\Pruefung.com
2007-09-26 09:07 116,224 --a------ C:\Temp\VundoFix.exe
2007-09-25 17:26 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\WinRAR
2007-09-25 16:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Napster Shared
2007-09-08 14:31 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\TuneUp Software
2007-09-08 14:30 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-09-08 14:30 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-09-08 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-08 14:30 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-09-06 20:06 17,264 --a------ C:\WINDOWS\suecmdial.dll
2007-09-06 19:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2007-09-06 19:53 <DIR> d-------- C:\Programme\Alice

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-28 15:56 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-09-25 17:22 --------- d-------- C:\Programme\XPcleanv5
2007-09-25 16:28 --------- d-------- C:\Programme\Napster
2007-09-12 18:17 --------- d-------- C:\DOKUME~1\Rainer\ANWEND~1\Skype
2007-09-08 19:34 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-09-02 12:06 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
2007-08-10 17:27 --------- d-------- C:\Programme\DivX
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-29 18:52 --------- d-------- C:\Programme\MSXML 4.0
2003-07-17 10:26 448640 --a------ C:\WINDOWS\inf\EL2K_N64.sys
2003-07-17 10:22 147328 --a------ C:\WINDOWS\inf\EL2K_XP.sys
2003-06-03 15:47 147328 --a------ C:\WINDOWS\inf\EL2K_2K.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 10:42]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-14 22:05]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-08 15:16]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLifeService]
"C:\Programme\Logitech\MediaLife\MediaLifeService.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
"C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell]
C:\Programme\Napster\napster.exe /systray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchIndexer]
rundll32.exe "C:\WINDOWS\system32\oltxlgnc.dll",sitypnow

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemOptimizer]
rundll32.exe "C:\WINDOWS\system32\atjrmnjo.dll",forkonce

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNMp50.sys
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNSp50.sys
S3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\system32\drivers\tbhsd.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-09-28 15:15:13 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-28 17:24:33
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-28 17:25:17 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-28 17:25
.
--- E O F ---

bin ich jetzt *sauber* ?!?!?!?

Alt 28.09.2007, 23:16   #12
myrtille
/// TB-Ausbilder
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



Noch nicht ganz.
Du hast dir scheinbar eine ganz neue Variante eingefangen, daher müssen noch ein paar Dateien entfernt werden:
  • Kopiere Folgendes in einen Editor:
    Zitat:
    file::
    C:\WINDOWS\system32\atjrmnjo.dll

    registry::
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemOptimizer]
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchIndexer]
  • speichere dies nun als "CFScript" ab
    (Stelle dabei sicher, dass du als "Dateityp" "alle Dateitypen" anwählst und die Datei keine Endung hat)
  • Ziehe dann die Datei cfscipt auf combofix.exe, wie du es auf der folgenden Animation sehen kannst:
  • Es sollte sich nun ein Fenster öffnen, lass den Scan bis zum Schluß durchlaufen, auch wenn deine Desktopicons verschwinden.
  • Die Logdatei öffnet sich am Schluß des Scans, ihren Inhalt dann bitte hier posten.
Erstelle bitte außerdem noch ein Log von Smitfraudfix. Antispywarebot ist ein Rogueprogramm, das heißt es versucht durch falsche Erfolgsmeldungen, die Leute in Sicherheit zu wiegen/zum Kauf zu verleiten. In diesem Fall lässt es allerdings vor allem auch einige Infektionen (wissentlich) unbehandelt. Smitfraudfix ist auf solche Programme spezialisiert.
Lade dir SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

lg myrtille

Alt 29.09.2007, 18:58   #13
space_lord
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



oje, dann gehts weiter ...

hier die beiden logs:
ComboFix 07-09-21.2 - "Rainer" 2007-09-29 18:54:42.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1613 [GMT 2:00]
* Created a new restore point

FILE::
C:\WINDOWS\system32\atjrmnjo.dll
.

((((((((((((((((((((((( Dateien erstellt von 2007-08-28 bis 2007-09-29 ))))))))))))))))))))))))))))))
.

2007-09-28 17:16 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-28 16:28 <DIR> d-------- C:\Temp\backups
2007-09-28 14:54 <DIR> d-------- C:\Temp\troj_board
2007-09-27 16:07 73,728 --a------ C:\KillBox.exe
2007-09-26 21:42 218,112 --a------ C:\Temp\Pruefung.com
2007-09-26 09:07 116,224 --a------ C:\Temp\VundoFix.exe
2007-09-25 17:26 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\WinRAR
2007-09-25 16:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Napster Shared
2007-09-08 14:31 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\TuneUp Software
2007-09-08 14:30 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-09-08 14:30 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-09-08 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-09-08 14:30 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-09-06 20:06 17,264 --a------ C:\WINDOWS\suecmdial.dll
2007-09-06 19:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2007-09-06 19:53 <DIR> d-------- C:\Programme\Alice

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-28 23:09 --------- d-------- C:\Programme\Napster
2007-09-28 15:56 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-09-25 17:22 --------- d-------- C:\Programme\XPcleanv5
2007-09-12 18:17 --------- d-------- C:\DOKUME~1\Rainer\ANWEND~1\Skype
2007-09-08 19:34 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-09-02 12:06 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink
2007-08-10 17:27 --------- d-------- C:\Programme\DivX
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-29 18:52 --------- d-------- C:\Programme\MSXML 4.0
2007-07-28 07:44 45296 --a------ C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-07-28 05:37 8237056 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-07-28 05:31 344064 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-07-28 05:30 269312 --a------ C:\WINDOWS\system32\ati2dvag.dll
2007-07-28 05:30 2371584 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-07-28 05:24 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2007-07-28 05:23 143360 --a------ C:\WINDOWS\system32\atipdlxx.dll
2007-07-28 05:23 122880 --a------ C:\WINDOWS\system32\Oemdspif.dll
2007-07-28 05:22 43520 --a------ C:\WINDOWS\system32\ati2edxx.dll
2007-07-28 05:22 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2007-07-28 05:22 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll
2007-07-28 05:21 483328 --a------ C:\WINDOWS\system32\ati2evxx.exe
2007-07-28 05:20 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2007-07-28 05:12 3067712 --a------ C:\WINDOWS\system32\ati3duag.dll
2007-07-28 05:06 176128 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-07-28 05:01 1550208 --a------ C:\WINDOWS\system32\ativvaxx.dll
2007-07-28 04:50 5435392 --a------ C:\WINDOWS\system32\atioglxx.dll
2007-07-28 04:47 266240 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-07-28 04:46 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2007-07-28 04:45 49152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
2007-07-28 04:40 450560 --a------ C:\WINDOWS\system32\ati2cqag.dll
2007-07-27 21:05 593920 --------- C:\WINDOWS\system32\ati2sgag.exe
2003-07-17 10:26 448640 --a------ C:\WINDOWS\inf\EL2K_N64.sys
2003-07-17 10:22 147328 --a------ C:\WINDOWS\inf\EL2K_XP.sys
2003-06-03 15:47 147328 --a------ C:\WINDOWS\inf\EL2K_2K.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 10:42]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-14 22:05]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-08 15:16]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLifeService]
"C:\Programme\Logitech\MediaLife\MediaLifeService.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
"C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell]
C:\Programme\Napster\napster.exe /systray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNMp50.sys
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNSp50.sys
S3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\system32\drivers\tbhsd.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-09-28 15:15:13 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-29 18:55:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-29 18:56:32
C:\ComboFix-quarantined-files.txt ... 2007-09-28 17:25
C:\ComboFix2.txt ... 2007-09-28 17:25
.
--- E O F ---

und:



Scan done at 19:01:16,21, 29.09.2007
Run from C:\Dokumente und Einstellungen\Rainer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Rainer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Rainer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Rainer\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 3Com Gigabit LOM (3C940) - Paketplaner-Miniport
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A97B49FA-1121-4664-BF55-363E1845E391}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A97B49FA-1121-4664-BF55-363E1845E391}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A97B49FA-1121-4664-BF55-363E1845E391}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Alt 29.09.2007, 19:12   #14
myrtille
/// TB-Ausbilder
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



Hi,
sieht gut aus! Es handelte sich nur noch um 2-3 zu entfernende Einträge von Vundo, die Dateien waren schon weg. Das Log von Smitfraudfix ist auch sauber.
Hast du denn noch Probleme mit dem Rechner?

Dann würde ich dich noch bitten noch ein neues HJT-File zu posten um noch ein letztes Mal drüber zu gucken und sicher zu gehen, dass alles seine Richtigkeit hat.
lg myrtille

Alt 29.09.2007, 19:19   #15
space_lord
 
TR/Vundo.Gen - gebca.dll - Standard

TR/Vundo.Gen - gebca.dll



ne, läuft alles sauber :-)
antivir "meckert" auch nicht mehr ...

vielen dank für die hilfe !!!

HJT log:
Logfile of HijackThis v1.99.1
Scan saved at 19:23:15, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Temp\Pruefung.com

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Antwort

Themen zu TR/Vundo.Gen - gebca.dll
abgesicherten modus, adobe, antivir, bho, bild, boot, booten, dateien, explorer, firefox, hijack, hotkey, ignorieren, internet, internet explorer, jusched.exe, log, microsoft, monitor, mozilla, mozilla firefox, programme, software, system, system32, temp, tr/vundo.gen, windows, windows xp



Ähnliche Themen: TR/Vundo.Gen - gebca.dll


  1. Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (28)
  2. TR/Vundo.Gen ... o.O
    Log-Analyse und Auswertung - 20.03.2009 (1)
  3. TR/Vundo.Gen; TR/Vundo.fnr.6 entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2009 (9)
  4. Trojaner Vundo.fxr.94 und TR/Vundo.Gen.6.18
    Log-Analyse und Auswertung - 22.12.2008 (13)
  5. TR/Vundo.Gen
    Plagegeister aller Art und deren Bekämpfung - 31.10.2008 (7)
  6. TR/Vundo.fnr.6; TR/Vundo.Gen; TR/Crypt/Morphine.Gen....
    Mülltonne - 27.10.2008 (0)
  7. TR\Vundo.Gen
    Mülltonne - 26.06.2008 (0)
  8. Vundo
    Mülltonne - 25.06.2008 (1)
  9. TR/Vundo.Gen
    Mülltonne - 25.06.2008 (0)
  10. Trojaner TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (4)
  11. TR/Crypt.XPACK.GEN TR/Vundo.GEN TR/Vundo.AG
    Mülltonne - 12.06.2008 (0)
  12. TR/Vundo.Gen, Vundo.AG, Crypt.XPACK.Gen usw.
    Plagegeister aller Art und deren Bekämpfung - 16.05.2008 (3)
  13. TR/Vundo.gj
    Log-Analyse und Auswertung - 06.05.2008 (27)
  14. TR/Vundo.gen TR/vundo.AC Bitte um Hilfe
    Log-Analyse und Auswertung - 22.03.2008 (10)
  15. TR/Vundo.Gen und TR/Vundo.dvc1 bekämpfen
    Log-Analyse und Auswertung - 09.01.2008 (18)
  16. Vundo.AJ.5
    Log-Analyse und Auswertung - 17.04.2007 (24)
  17. Wie kann ich TR/Vundo.AH und TR/Vundo.Gen entfernen?
    Log-Analyse und Auswertung - 24.03.2007 (6)

Zum Thema TR/Vundo.Gen - gebca.dll - hallo, mich hat auch die vondo-plage erwischt ... meine selbstversuche ihn zu beseitigen sind leider alle gescheitert - dashalb bitte ich hier um hilfe. avira antivir erkennt sofort nach dem - TR/Vundo.Gen - gebca.dll...
Archiv
Du betrachtest: TR/Vundo.Gen - gebca.dll auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.