| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: gebyv.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.01.2008, 10:00
| #1 |
 |  gebyv.exe Das Teil startet sich jedesmal neu. Bitte um Hilfe. Am Anfang erscheint auch ein kleines Fenster (Titel: "blah" mit keinem Inhalt?!) Logfile of HijackThis v1.99.1 Scan saved at 09:59:16, on 05.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\G DATA AntiVirus\AVK\AVKService.exe C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe C:\DATEV\SYSTEM\PSNTSERV.EXE C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\Virtual TA Client\RccIcon.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient .exe C:\Programme\Microsoft ActiveSync\WCESCOMM .EXE C:\Programme\G DATA AntiVirus\AVKTray\AVKTray .exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe C:\Programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe C:\Programme\Microsoft ActiveSync\WCESCOMM .EXE C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe E:\Tools\stinger.exe E:\Tools\Process Explorer.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp F3 - REG:win.ini: load=C:\WINDOWS\system32\gebyv.exe O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [RccIcon] C:\Programme\Virtual TA Client\RccIcon O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM .EXE" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O4 - Global Startup: Lexware professional Datenbankserver starten.lnk = C:\Programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe O4 - Global Startup: SkyUserDevmode-Update.lnk = C:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .3gp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://reset.dyndns.tv/plugin/h263ctrl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FA99EEED-344D-4E75-8C55-3F78855F049F}: NameServer = 192.168.10.2 O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: MSSQL$DATEV_CL_DE01 - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe" -sDATEV_CL_DE01 (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SQLAgent$DATEV_CL_DE01 - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlagent.EXE" -i DATEV_CL_DE01 (file missing) O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
|
05.01.2008, 20:35
| #2 | |
| /// AVZ-Toolkit Guru   | gebyv.exe Halli hallo
__________________Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________ |
|
05.01.2008, 23:24
| #3 |
| | gebyv.exe Also RccIcon ist sauber.
__________________gebyv.exe wurde von meinem aktuellen GDATA auf meinem Haupt-PC gleich gelöscht: http://www.antiviruslab.com/search.php?v1=Trojan-Dropper.Win32.Agent.dgo Process Explorer ist der von Sysinternals... |
|
06.01.2008, 13:07
| #4 | |
| /// AVZ-Toolkit Guru | gebyv.exeZitat:
Wenn die " gebyv.exe " gelöscht wurde ist das nicht so toll. Kannst du die noch aus der Quarantäne kramen? Eine VT Analyse wäre super.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
06.01.2008, 13:21
| #5 |
| | gebyv.exeCode:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis AhnLab-V32008.1.5.112008.01.05Dropper/Agent.348160.BAntiVir7.6.0.462008.01.04TR/Drop.Agent.dgo.21Authentium4.93.82008.01.05W32/Virtumonde.OQAvast4.7.1098.02008.01.05Win32:TratBHOAVG7.5.0.5162008.01.05Dropper.Agent.GITBitDefender7.22008.01.06Trojan.Dropper.Vundo.DCAT-QuickHeal9.002008.01.05TrojanDropper.Agent.dgoClamAV0.91.22008.01.06Trojan.Vundo-851DrWeb4.44.0.091702008.01.06Trojan.MulDrop.10006eSafe7.0.15.02008.01.03-eTrust-Vet31.3.54322008.01.04Win32/Trats.AEwido4.02008.01.05Dropper.Agent.dgoFileAdvisor12008.01.06-Fortinet3.14.0.02008.01.06-F-Prot4.4.2.542008.01.05W32/Virtumonde.OQF-Secure6.70.13030.02008.01.05Trojan-Dropper.Win32.Agent.dgoIkarusT3.1.1.152008.01.06Trojan-Dropper.Win32.Agent.dgoKaspersky7.0.0.1252008.01.06Trojan-Dropper.Win32.Agent.dgoMcAfee52002008.01.04-Microsoft1.31092008.01.06Virus:Win32/Trats.CNOD32v227672008.01.06Win32/TrojanDropper.Agent.DGONorman5.80.022008.01.04W32/Vundo.AYPanda9.0.0.42008.01.06Trj/Dropper.ZNPrevx1V22008.01.06-Rising20.25.62.002008.01.06-Sophos4.24.02008.01.06W32/VirtInf-BSunbelt2.2.907.02008.01.05-Symantec102008.01.06W32.Trats!infTheHacker6.2.9.1812008.01.05W32/Zhelatin.genVBA323.12.2.52008.01.02Trojan-Dropper.Win32.Agent.dgoVirusBuster4.3.26:92008.01.05Win32.Trats.GenWebwasher-Gateway6.6.22008.01.04Trojan.Drop.Agent.dgo.21 weitere Informationen File size: 348160 bytesMD5: 9817e187479fa0d59383009eef49a5a6SHA1: 1999d6544a111d897b5fd282ebac16b26106bcbcPEiD: -
 Geändert von Dyna (06.01.2008 um 13:30 Uhr) |
|
08.01.2008, 16:49
| #6 |
| Administrator > Competence Manager  | gebyv.exe
__________________ --> gebyv.exe |
|
08.01.2008, 16:55
| #7 |
| | gebyv.exe Woher soll man denn wissen, dass die Foren irgendwie zusammengehören? Gibt es irgendwo ein Verbot, dass man seine Frage nur in einem Forum stellen darf? |
|
08.01.2008, 17:22
| #8 | ||
| Administrator > Competence Manager |  gebyv.exeZitat:
 Zitat:
Nein das nicht, aber denk doch mal logisch, in jedem Forum sind freiwillige Helfer, und jeder opfert seine Zeit für dich und analysiert dein System. Würdest du dir als Helfer da nicht auch "doof" bei vorkommen?!
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
08.01.2008, 17:35
| #9 |
| | gebyv.exe Naja ich finds ganz normal, dass man seine Frage an mehrere Personen richtet. Der eine kennt sich hier besser aus der andere dort. Ich habe mir dadurch halt ne schnellere Lösungs des Problems erhofft, weil es relativ wichtig war! Aber Ok... in Zukunft weiß ich, dass dieses "Crossposting" nicht erwünscht ist... |
|
| Themen zu gebyv.exe |
| administrator, agent, anfang, antivirus, check, dateien, desktop, einstellungen, excel, explorer, fritz!, g data, google, hijack, hijackthis, internet, internet explorer, lexware, messenger, microsoft, mssql, programme, server, software, system, system32, update, win32, windows, windows xp |
Linear-Darstellung
