gebcc.dll TR/Vundo.AZ nicht löschbar

Tommson · 18.12.2007, 16:25

link für filelisting
http://www.file-upload.net/download-562701/listing.txt.html

find.bat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.2
Sprache: German
Virus-Datenbank Datum: 12/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (trace.log)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen.
System found infected with winlink Spyware/Adware (wlsetup.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with holistyc Dialer (C:\WINDOWS.1\icons)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/nosavesettings)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS.1\system32\tcpfp.exe infiziert von "Trojan-DDoS.Win32.Agent.an" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\Sonstiges\9999994949\JEAJ\mIRC + Keygen\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\Sonstiges\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Anwendungsdaten\terratec\cinergydvr\trace.log
Offending file found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\sonstiges\porn_tools_aio\porn tools aio\autoplay\http-bugger v 2.2\found.wav
Offending file found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\sonstiges\porn_tools_aio\porn tools aio\autoplay\wlsetup.exe
Offending file found: C:\WINDOWS.1\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\world of warcraft\interface\addons\bigwigs\mc
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKCR\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS.1\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 52608
Gefundene Viren: 12
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 65
Dauer des Scans bisher: 00:19:20
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 16:20:01,78
Batchende: 16:20:08,53

Tommson · 18.12.2007, 16:26

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:45, on 2007-12-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS.1\system32\nvsvc32.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS.1\Explorer.EXE
C:\WINDOWS.1\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\WINDOWS.1\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WZShutdown\P_zero.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Alice\signup\AliceCnn.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ogame.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: {8a6ef301-257a-3c5a-fb44-010b9ccb5cf1} - {1fc5bcc9-b010-44bf-a5c3-a752103fe6a8} - C:\WINDOWS.1\system32\ggkgrrre.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B499D34E-58EF-4927-AB9F-7AF52B2C4C82} - (no file)
O2 - BHO: (no name) - {F1DFEC5F-69F8-432D-8902-7B13CE1D01BA} - C:\WINDOWS.1\system32\gebcc.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TerraTec Home Cinema\THCDeskBand.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.1\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.1\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.1\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [bxnkuntn] C:\eclvojju.bat
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{74786C83-ADF6-49A7-92C0-95CE83B0275F}: NameServer = 213.191.92.82 213.191.74.11
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS.1\system32\nrecdext.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.1\system32\nvsvc32.exe

--
End of file - 8129 bytes

cosinus · 18.12.2007, 17:20

Zitat:

Datei C:\WINDOWS.1\system32\tcpfp.exe infiziert von "Trojan-DDoS.Win32.Agent.an" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Da ist escan angesprungen. Da sind noch weitere Dateien im gleichen Verzeichnis mit fast identischen Zeitstempeln, daher werte mal diese Dateien bei Virsutotal aus und poste die Ergebnisse inkl. Angaben zu Prüfsummen und Dateigröße:

Code:

ATTFilter

C:\WINDOWS.1\system32\tcpfp.exe
C:\WINDOWS.1\ssleay32.dll
C:\WINDOWS.1\libeay32.dll
C:\WINDOWS.1\wget.exe
C:\WINDOWS.1\winserver.exe

Zitat:

Datei C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\Sonstiges\9999994949\JEAJ\mIRC + Keygen\mirc616.exe//data0001.bin

Offending file found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\sonstiges\porn_tools_aio\porn tools

Tsss..
Also von Keygens und anderer dubioser/illegaler Software solltest du lieber die Finger lassen, allein schon deswegen wenn du virenfrei leben willst...

Im abgesicherten Modus nochmal diese Einträge mit HJT fixen:

Code:

ATTFilter

O2 - BHO: {8a6ef301-257a-3c5a-fb44-010b9ccb5cf1} - {1fc5bcc9-b010-44bf-a5c3-a752103fe6a8} - C:\WINDOWS.1\system32\ggkgrrre.dll (file missing)
O2 - BHO: (no name) - {B499D34E-58EF-4927-AB9F-7AF52B2C4C82} - (no file)
O2 - BHO: (no name) - {F1DFEC5F-69F8-432D-8902-7B13CE1D01BA} - C:\WINDOWS.1\system32\gebcc.dll (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

Schau dann mal unter services.msc (in Start, Ausführen eingeben) nach, ob du einen derartigen Dienste findest:

Zitat:

O23 - Service: DomainService - Unknown owner - C:\WINDOWS.1\system32\nrecdext.exe (file missing)

Wenn ja, dann notier den den Namen, der dir nach einem Doppelklick darauf unter Dienstname angezeigt wird. Mit HijackThis kannst du nämlich in der Misc Tools Section diesen Dienst entgültig entfernen.

Tommson · 18.12.2007, 18:14

Bei den anderen 4 datein kommt ne fehlermeldung 0byte size recived oder so was

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.19.10 2007.12.18 Win-AppCare/Udpsz.10752
AntiVir 7.6.0.45 2007.12.18 -
Authentium 4.93.8 2007.12.18 -
Avast 4.7.1098.0 2007.12.17 -
AVG 7.5.0.503 2007.12.17 Generic9.XDW
BitDefender 7.2 2007.12.18 -
CAT-QuickHeal 9.00 2007.12.18 -
ClamAV 0.91.2 2007.12.18 -
DrWeb 4.44.0.09170 2007.12.18 -
eSafe 7.0.15.0 2007.12.18 -
eTrust-Vet 31.3.5385 2007.12.18 -
Ewido 4.0 2007.12.18 Not-A-Virus.Exploit.Win32.Auriemma.j
FileAdvisor 1 2007.12.18 -
Fortinet 3.14.0.0 2007.12.18 W32/Agent.AN!dos
F-Prot 4.4.2.54 2007.12.18 -
F-Secure 6.70.13030.0 2007.12.18 Trojan-DDoS.Win32.Agent.an
Ikarus T3.1.1.15 2007.12.18 Trojan-DDoS.Win32.Agent.an
Kaspersky 7.0.0.125 2007.12.18 Trojan-DDoS.Win32.Agent.an
McAfee 5187 2007.12.17 -
Microsoft 1.3109 2007.12.18 -
NOD32v2 2730 2007.12.18 probably a variant of Win32/DDoS.Agent
Norman 5.80.02 2007.12.18 -
Panda 9.0.0.4 2007.12.18 -
Prevx1 V2 2007.12.18 Heuristic: Suspicious File With Bad Parent Associations
Rising 20.23.12.00 2007.12.18 Hack.DDoSer.Win32.Agent.an
Sophos 4.24.0 2007.12.18 Mal/Generic-A
Sunbelt 2.2.907.0 2007.12.18 -
Symantec 10 2007.12.18 -
TheHacker 6.2.9.163 2007.12.18 -
VBA32 3.12.2.5 2007.12.17 Trojan-DDoS.Win32.Agent.an
VirusBuster 4.3.26:9 2007.12.18 -
Webwasher-Gateway 6.6.2 2007.12.18 -
weitere Informationen
File size: 12288 bytes
MD5: 2b785aa4dddde7bd9181d511afad3969
SHA1: 1d719721b567b0441a78d36c37482aa6166c1fce
PEiD: Dev-C++ 4.9.9.2 -> Bloodshed Software
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=44C3E0960079F6193009002C6B1F03002EA8FEB0

cosinus · 18.12.2007, 18:31

Dann wieder mit dem Avenger wie gewohnt vorgehen, kopier aber diesen Text hinein:

Code:

ATTFilter

Files to delete:
C:\WINDOWS.1\system32\tcpfp.exe
C:\WINDOWS.1\ssleay32.dll
C:\WINDOWS.1\libeay32.dll
C:\WINDOWS.1\wget.exe
C:\WINDOWS.1\winserver.exe

Poste nach dem Neustart wieder das Avenger-Log und entpacke die Avenger.zip in C:\backup. Die Dateien im Avenger.zip sind die gelöschten als Backup eben. Diese nochmal bei Virustotal auswerten und alle Ergebnisse posten.

Tommson · 18.12.2007, 20:02

Und in dem backup Ordner waren die Dateien nicht nur die erste wieder.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fbiruxrc

*******************

Script file located at: \??\C:\Program Files\pcneetkg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS.1\system32\tcpfp.exe deleted successfully.

File C:\WINDOWS.1\ssleay32.dll not found!
Deletion of file C:\WINDOWS.1\ssleay32.dll failed!

Could not process line:
C:\WINDOWS.1\ssleay32.dll
Status: 0xc0000034

File C:\WINDOWS.1\libeay32.dll not found!
Deletion of file C:\WINDOWS.1\libeay32.dll failed!

Could not process line:
C:\WINDOWS.1\libeay32.dll
Status: 0xc0000034

File C:\WINDOWS.1\wget.exe not found!
Deletion of file C:\WINDOWS.1\wget.exe failed!

Could not process line:
C:\WINDOWS.1\wget.exe
Status: 0xc0000034

File C:\WINDOWS.1\winserver.exe not found!
Deletion of file C:\WINDOWS.1\winserver.exe failed!

Could not process line:
C:\WINDOWS.1\winserver.exe
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

cosinus · 18.12.2007, 20:09

Das ist ja merkwürdig. Die anderen Dateien wurden im letzten listing.txt noch angezeigt. Mach nochmal bitte ein neues filelist mit der listing.txt und lad es wieder hoch und verlink es hier.

Hattest du schon mal einen Check mit Blacklight gemacht? Wenn nicht, nochmal nachholen und das Log posten. Hast du auch schon combofix ausgeführt?

gebcc.dll TR/Vundo.AZ nicht löschbar

Plagegeister aller Art und deren Bekämpfung: gebcc.dll TR/Vundo.AZ nicht löschbar