gebbbxu.dll wird von AV Vir als Trojaner erkannt

**coolgonzo** · 24.09.2006, 13:14

Habe seit zwei Tagen eine gebbbxu.dll auf meinem Rechner, die ich einfach nicht gelöscht bekomme auch nicht im abgesicherten Modus. Unten mein HiJack-Logfile, hat jemand eine Idee????

Code:

Logfile of HijackThis v1.99.1
Scan saved at 13:51:07, on 24.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {D3B3C51E-8D11-4667-85B9-0930F519BED7} - C:\WINDOWS\system32\gebbbxu.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Showwnd] showwnd.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=051206 serial=DR12WTX-9999998-YSP lang=EN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1128778405937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1141142460296
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EB8451D-59C1-475D-93CD-8ED5F95BB73D}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: gebbbxu - C:\WINDOWS\SYSTEM32\gebbbxu.dll
O20 - Winlogon Notify: winosz32 - winosz32.dll (file missing)
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

**troja** · 24.09.2006, 21:55

Hallo coolgonzo und herzlich willkommen hier im HijackThis Board. Schön, dass du zu uns gefunden hast.

1.

gebbbxu.dll wird von AV Vir als Trojaner erkannt

Könntest du uns hierzu noch nähere Angaben machen.
Wann wurde es erkannt und wie ist der Programmpfad.

Bitte sei so nett und suche auf deinem PC diese .exe Datei.
showwnd.exe
Wenn du sie bzw. das ausführende Programm gefunden hast, gehe auf Eigenschaften und schreibe uns alles darüber auf. Name Größe, Dateipfad, wann erstellt usw.

Desweiteren brauchen wir noch ein paar mehr Informationen über dein System.
Erstelle dafür bitte eine filelist.
Halte dich dabei an folgende Anleitung:

Download von filelist.zip auf deinen Desktop
Entpacke das Programm auf dem Desktop
Starte nun mit einem Doppelklick auf die Datei filelist.bat das Stapelverarbeitungsprogramm
Es öffnet sich nun dein bevorzugter Editor (Textprogramm)
Markiere den gesamten Inhalt und wähle kopieren, füge nun alles hier in deinem Beitrag ein
Formatiere bzw. reduziere nun deinen Beitrag, es sollten von jedem Ordnerinhalt nur die letzten 30 Tage im Logfile verbleiben, den Rest löschen!

Dies sind die Verzeichnisse, von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Ein großes Dankeschön für die filelist.bat an unseren Moderator karl83(Anleitung)

Wenn diese Ergebnisse vorliegen, wird sich einer unserer Experten deiner annehmen.

Danke und viel Erfolg ( es wird schon)

Troja

Als Vorsichtsmassnahme für dich:

----------------------- Bitte den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist. Bis zu einer eventuellen Reinigung oder dem Formatieren deines Systems kein Online-Banking, File-sharing, Mailing, Messaging betreiben. Keine Up und Downloads, ausser auf Security Seiten. Mehr Information hierzu unter System-Sicherheit -----------------------

**coolgonzo** · 25.09.2006, 20:11

Hallo Troja, erst einmal herzlichen Dank für die nette Begrüßung, das lässt einen glatt vergessen, das man vor dem Computer sitzt.

Nachfolgend alles was ich finden konnte:

ShowWnd.exe Pfad C:\WINDOWS
erstellt am Dienstag, 28. Februar 2006, 15:52:15
geändert am Donnerstag, 18. September 2003, 21:09:22
letzter Zugriff Heute, 25. September 2006, 20:28:12

SHOWWND.EXE-2D489A81.pf Pfad: C:\WINDOWS\Prefetch
erstellt am Sonntag, 16. April 2006, 23:39:31
geändert Gestern, 24. September 2006, 12:58:38
letzter Zugriff Heute, 25. September 2006, 20:26:05

gebbbxu.dll Pfad: C:\WINDOWS\SYSTEM32
erstellt am Samstag, 23. September 2006, 09:45:16
geändert am Samstag, 23. September 2006, 09:45:16
letzter Zugriff Heute, 25. September 2006, 20:20:58

Der Ärger fing am Samstag, 23. September 2006, 09:45:17 an.
AntiVir meldete mir, das C:\WINDOWS\SYSTEM32\gebbbxu.dll das trojanische Pferd TR/VUNDO.GEN ist, aber leider war AntiVir auch im abgesicherten Modus nicht in der Lage diese Datei nach dem Neustart zu löschen, habe dann versucht diese gebbbxu.dll mit HiJackThis zu löschen, selbst nach Neustart und angeblichem Löschvorgang war Datei noch vorhanden, außerdem war im Pfad C:\WINDOWS\SYSTEM32 ein Ordner Components neu angelegt, die darin enthaltenen Dateien habe ich im Abgesicherten Modus gelöscht.

Spyboot&Search zeigt mir einen BHO, den ich aber nicht löschen kann.

{D3B3C51E-8D11-4667-85B9-0930F519BED7} ()
BHO name:
CLSID name:
Path: C:\WINDOWS\system32\
Long name: gebbbxu.dll
Short name:
Date (created): 23.09.2006 09:45:18
Date (last access): 25.09.2006 20:21:00
Date (last write): 23.09.2006 09:45:18
Filesize: 40973
Attributes:
MD5: D41D8CD98F00B204E9800998ECF8427E

Hier nun das Ergebnis der filelist.bat:
(Dazu gesagt, ich habe das tmp-Verzeichnis erst gestern völlig geleert)

Code:

----- Root ----------------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: F845-9504

 Verzeichnis von C:\

25.09.2006  20:46                43 filelist.txt
25.09.2006  20:20     1.072.156.672 hiberfil.sys
25.09.2006  20:20     1.610.612.736 pagefile.sys
25.09.2006  20:04            83.899 hpfr5550.log
10.09.2006  17:02               128 cibbrwinstall.log
06.08.2006  12:23                 0 vstcdbg.log


 
----- Windows -------------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: F845-9504

 Verzeichnis von C:\WINDOWS

25.09.2006  20:20                 0 0.log
25.09.2006  20:20             3.836 ModemLog_Creatix V.92 Data Fax Modem.txt
25.09.2006  20:20               157 wiadebug.log
25.09.2006  20:20                50 wiaservc.log
25.09.2006  20:20         1.432.836 WindowsUpdate.log
25.09.2006  20:20             2.048 bootstat.dat
25.09.2006  07:29            32.622 SchedLgU.Txt
24.09.2006  12:06           279.378 ntbtlog.txt
23.09.2006  10:20           255.085 setupapi.log
23.09.2006  09:29               202 NeroDigital.ini
20.09.2006  00:28            33.203 wmsetup.log
12.09.2006  23:36            59.977 comsetup.log
12.09.2006  23:36            29.287 iis6.log
12.09.2006  23:36             1.374 imsins.log
12.09.2006  23:36            36.343 ntdtcsetup.log
12.09.2006  23:36            69.490 tsoc.log
12.09.2006  23:36             9.918 ocmsn.log
12.09.2006  23:36            14.503 KB920685.log
12.09.2006  23:36            84.564 ocgen.log
12.09.2006  23:36             8.961 msgsocm.log
12.09.2006  23:36           178.586 FaxSetup.log
12.09.2006  23:36             1.374 imsins.BAK
12.09.2006  23:36            16.278 KB920872.log
12.09.2006  23:36            14.651 KB919007.log
12.09.2006  23:36            10.002 KB922582.log
12.09.2006  23:36            13.676 updspapi.log


 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: F845-9504

 Verzeichnis von C:\WINDOWS\system32

25.09.2006  20:21                 0 NvApps.xml
23.09.2006  09:45            40.973 gebbbxu.dll
22.09.2006  21:56             2.206 wpa.dbl
11.09.2006  19:37         8.960.936 MRT.exe
21.08.2006  14:26            16.896 fltlib.dll
21.08.2006  11:14            23.040 fltmc.exe

 
----- Prefetch ------------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: F845-9504

 Verzeichnis von C:\WINDOWS\Prefetch

25.09.2006  20:46            15.310 CMD.EXE-087B4001.pf
25.09.2006  20:46            26.836 WINZIP32.EXE-335422C1.pf
25.09.2006  20:46            18.504 GUARDGUI.EXE-1BD45C30.pf
25.09.2006  20:44            14.756 VERCLSID.EXE-3667BD89.pf
25.09.2006  20:22            25.548 WUAUCLT.EXE-399A8E72.pf
25.09.2006  20:22            72.472 FIREFOX.EXE-1D57670A.pf
25.09.2006  20:22         1.255.276 NTOSBOOT-B00DFAAD.pf
25.09.2006  20:18            75.804 LOGONUI.EXE-0AF22957.pf
25.09.2006  20:17            19.484 TASKMGR.EXE-20256C55.pf
25.09.2006  20:12            75.146 IEXPLORE.EXE-2CA9778D.pf
25.09.2006  20:11            56.628 AVGNT.EXE-36CA4640.pf
25.09.2006  20:11            12.784 HPZTSB06.EXE-10DDE90B.pf
25.09.2006  20:11            17.778 MHOTKEY.EXE-28F476F7.pf
25.09.2006  20:11            18.744 MDIONLCM.EXE-25E1ADEE.pf
25.09.2006  20:11            17.208 CMUCREYE.EXE-1FE38D17.pf
25.09.2006  20:11            58.692 PCMSERVICE.EXE-005CA5B8.pf
25.09.2006  20:11            44.118 RTHDCPL.EXE-06918CFA.pf
25.09.2006  20:11            11.984 REGISTER.EXE-227675EF.pf
25.09.2006  20:11            18.908 RUNDLL32.EXE-415F88EC.pf
25.09.2006  20:11            22.774 NWIZ.EXE-2D0F9FBC.pf
25.09.2006  20:11            16.392 IMJPMIG.EXE-03882F7A.pf
25.09.2006  20:11            23.476 ALCMTR.EXE-235F9538.pf
25.09.2006  20:11             6.546 TINTSETP.EXE-39BF0732.pf
25.09.2006  20:11            19.660 IMAPI.EXE-0BF740A4.pf
25.09.2006  20:11           118.156 EXPLORER.EXE-082F38A9.pf
25.09.2006  20:11            38.196 USERINIT.EXE-30B18140.pf
25.09.2006  20:10            62.268 WINLOGON.EXE-32C57D49.pf
25.09.2006  20:10            32.616 CSRSS.EXE-12B63473.pf
25.09.2006  20:04            13.024 HPZSTW06.EXE-0B092BEC.pf
25.09.2006  20:04            15.780 HPZSTC06.EXE-25352EBF.pf
25.09.2006  20:04            14.768 HPZENG06.EXE-0298DF7F.pf
25.09.2006  20:00           100.054 CORELDRW.EXE-03C97E17.pf
25.09.2006  19:59            13.174 RUNDLL32.EXE-451FC2C0.pf
25.09.2006  19:59           121.456 WMIPRVSE.EXE-28F301A9.pf
25.09.2006  19:59            12.494 WZQKPICK.EXE-303401C3.pf
25.09.2006  19:59            12.774 READER_SL.EXE-36135169.pf
25.09.2006  07:27            13.152 RUNDLL32.EXE-268BFF96.pf
24.09.2006  14:16            16.116 REGEDIT.EXE-1B606482.pf
24.09.2006  13:51            16.274 NOTEPAD.EXE-336351A9.pf
24.09.2006  13:32            61.714 TEATIMER.EXE-38E505A8.pf
24.09.2006  13:32             8.644 QTTASK.EXE-2D7EEF34.pf
24.09.2006  13:27            29.466 WSCNTFY.EXE-1B24F5EB.pf
24.09.2006  12:58            29.898 CNYHKEY.EXE-3024E8B1.pf
24.09.2006  12:58            32.670 SHOWWND.EXE-2D489A81.pf
24.09.2006  12:58             7.092 NEROCHECK.EXE-092C6DFA.pf
24.09.2006  10:54            23.300 SCHED.EXE-236A886F.pf
24.09.2006  10:54            79.530 AVNOTIFY.EXE-22AE9451.pf
24.09.2006  10:54            55.184 AVGUARD.EXE-3490B18B.pf
24.09.2006  10:54            54.252 UPDATE.EXE-13D57D76.pf
24.09.2006  10:54            15.164 PREUPD.EXE-358AA1C1.pf
23.09.2006  16:08            42.918 AVCENTER.EXE-37584419.pf
23.09.2006  15:15            18.456 REGSVR32.EXE-25EEFE2F.pf
23.09.2006  10:09            26.014 DWWIN.EXE-30875ADC.pf
23.09.2006  10:08           139.108 DUMPREP.EXE-1B46F901.pf
23.09.2006  09:26             7.628 IMSCINST.EXE-009A1717.pf
23.09.2006  07:58            20.184 KMJ.EXE-08784191.pf
23.09.2006  07:55            43.510 WINHLP32.EXE-2C18E975.pf
22.09.2006  21:56            51.566 HELPSVC.EXE-2878DDA2.pf
22.09.2006  21:56            83.462 HELPCTR.EXE-3862B6F5.pf
22.09.2006  21:56            28.904 MSINFO32.EXE-20B2F2A1.pf
22.09.2006  20:29            16.168 START.EXE-2629DD07.pf
22.09.2006  20:28            26.642 ACRORD32INFO.EXE-30CEC19C.pf
22.09.2006  20:27            17.436 RUNDLL32.EXE-35A483DA.pf
22.09.2006  20:25            97.006 ACRORD32.EXE-0EC716D9.pf
22.09.2006  19:48            83.074 IEDIT.EXE-2B402449.pf
22.09.2006  19:48            19.186 VOE.EXE-11F7BEC5.pf
22.09.2006  19:48            16.692 SCAPX.EXE-0F022098.pf
22.09.2006  19:48            16.714 RUNDLL32.EXE-4BD05CE6.pf
22.09.2006  10:32            25.316 WKDSTORE.EXE-31475208.pf
22.09.2006  10:32            97.310 WINWORD.EXE-3395695A.pf
20.09.2006  15:45            12.368 WZQKPICK.EXE-160BDDE7.pf
20.09.2006  02:28            63.452 WMPLAYER.EXE-09969339.pf
20.09.2006  02:22            59.794 WMPLAYER.EXE-0996933B.pf
16.09.2006  02:52            76.766 GOOGLEEARTH.EXE-0978F2AD.pf
16.09.2006  02:50            65.856 UPDATER.EXE-068581D9.pf
13.09.2006  16:10            47.776 CSTBOX.EXE-10AA6D66.pf
13.09.2006  16:10            16.656 RUNDLL32.EXE-17F47B41.pf
10.09.2006  18:06            21.590 RUNDLL32.EXE-188DF14E.pf
06.09.2006  19:49            15.694 SVCHOST.EXE-3530F672.pf
06.09.2006  17:43            73.194 RUNDLL32.EXE-2576181F.pf
01.09.2006  19:53             6.834 LOGON.SCR-151EFAEA.pf
30.08.2006  21:58            61.936 WMPLAYER.EXE-09969332.pf
30.08.2006  20:53            78.212 DFRGNTFS.EXE-269967DF.pf
30.08.2006  20:53            17.436 DEFRAG.EXE-273F131E.pf
30.08.2006  20:53           552.262 Layout.ini
24.08.2006  17:55            59.344 WMPLAYER.EXE-09969338.pf
24.08.2006  16:16            27.382 CDEX.EXE-1EDB2C27.pf

 
----- Tasks ---------------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: F845-9504

 Verzeichnis von C:\WINDOWS\tasks

25.09.2006  20:20                 6 SA.DAT
04.08.2004  14:00                65 desktop.ini
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se), 97.459.154.944 Bytes frei
 
----- Windows/Temp ----------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: F845-9504

 Verzeichnis von C:\WINDOWS\Temp

25.09.2006  20:20                 0 sqlite_k9wAbbOC9uKimp0
25.09.2006  20:20                 0 CLML_AGENT_LOG1.txt
25.09.2006  19:56                 0 sqlite_8dwi6VGRuFAtrpl
24.09.2006  12:22                 0 T30DebugLogFile.txt
24.09.2006  12:19                 0 win67.tmp
24.09.2006  12:19                 0 win68.tmp
24.09.2006  12:17                 0 win66.tmp
24.09.2006  12:17                 0 win65.tmp
24.09.2006  12:15                 0 win64.tmp
24.09.2006  12:15                 0 win63.tmp
24.09.2006  12:13                 0 win62.tmp
24.09.2006  12:13                 0 win61.tmp
24.09.2006  12:11                 0 win5F.tmp
24.09.2006  12:11                 0 win60.tmp
24.09.2006  12:09                 0 win5D.tmp
24.09.2006  12:09                 0 win5E.tmp
24.09.2006  12:07                 0 win5C.tmp
24.09.2006  12:07                 0 win5B.tmp
24.09.2006  12:05                 0 win5A.tmp
24.09.2006  12:05                 0 win59.tmp
24.09.2006  12:05                 0 win58.tmp
24.09.2006  12:03                 0 win57.tmp
24.09.2006  12:03                 0 win56.tmp
24.09.2006  12:01                 0 win55.tmp
24.09.2006  12:01                 0 win54.tmp
24.09.2006  11:59                 0 win53.tmp
24.09.2006  11:59                 0 win52.tmp
24.09.2006  11:57                 0 win51.tmp
24.09.2006  11:57                 0 win50.tmp
24.09.2006  11:55                 0 win4F.tmp
24.09.2006  11:55                 0 win4E.tmp
24.09.2006  11:53                 0 win4D.tmp
24.09.2006  11:53                 0 win4C.tmp
24.09.2006  11:51                 0 win4A.tmp
24.09.2006  11:51                 0 win4B.tmp
24.09.2006  11:49                 0 win49.tmp
24.09.2006  11:49                 0 win48.tmp
24.09.2006  11:47                 0 win47.tmp
24.09.2006  11:47                 0 win46.tmp
24.09.2006  11:45                 0 win45.tmp
24.09.2006  11:45                 0 win44.tmp
24.09.2006  11:45                 0 win43.tmp
24.09.2006  11:43                 0 win41.tmp
24.09.2006  11:43                 0 win42.tmp
24.09.2006  11:41                 0 win3F.tmp
24.09.2006  11:41                 0 win40.tmp
24.09.2006  11:39                 0 win3D.tmp
24.09.2006  11:39                 0 win3E.tmp
24.09.2006  11:37                 0 win3C.tmp
24.09.2006  11:37                 0 win3B.tmp
24.09.2006  11:35                 0 win3A.tmp
24.09.2006  11:35                 0 win39.tmp
24.09.2006  11:33                 0 win38.tmp
24.09.2006  11:33                 0 win37.tmp
24.09.2006  11:31                 0 win36.tmp
24.09.2006  11:31                 0 win35.tmp
24.09.2006  11:29                 0 win34.tmp
24.09.2006  11:29                 0 win33.tmp
24.09.2006  11:27                 0 win32.tmp
24.09.2006  11:27                 0 win31.tmp
24.09.2006  11:25                 0 win30.tmp
24.09.2006  11:25                 0 win2F.tmp
24.09.2006  11:25                 0 win2E.tmp
24.09.2006  11:23                 0 win2C.tmp
24.09.2006  11:23                 0 win2D.tmp
24.09.2006  11:21                 0 win2B.tmp
24.09.2006  11:21                 0 win2A.tmp
24.09.2006  11:19                 0 win29.tmp
24.09.2006  11:19                 0 win28.tmp
24.09.2006  11:17                 0 win27.tmp
24.09.2006  11:17                 0 win26.tmp
24.09.2006  11:15                 0 win25.tmp
24.09.2006  11:15                 0 win24.tmp
24.09.2006  11:13                 0 win23.tmp
24.09.2006  11:13                 0 win22.tmp
24.09.2006  11:11                 0 win21.tmp
24.09.2006  11:11                 0 win20.tmp
24.09.2006  11:09                 0 win1F.tmp
24.09.2006  11:09                 0 win1E.tmp
24.09.2006  11:07                 0 win1D.tmp
24.09.2006  11:07                 0 win1C.tmp
24.09.2006  11:05                 0 win19.tmp
24.09.2006  11:05                 0 win1B.tmp
24.09.2006  11:05                 0 win1A.tmp
24.09.2006  11:03                 0 win18.tmp
24.09.2006  11:03                 0 win17.tmp
24.09.2006  11:03                 0 win16.tmp
              87 Datei(en)              0 Bytes
               0 Verzeichnis(se), 97.459.150.848 Bytes frei
 
----- Temp ----------------------------- 
 Datentr„ger in Laufwerk C: ist BOOT
 Volumeseriennummer: F845-9504

 Verzeichnis von C:\DOKUME~1\Ralf\LOKALE~1\Temp

24.09.2006  13:51             8.724 hijackthis.log
24.09.2006  13:03            16.384 ~DFEE81.tmp
24.09.2006  12:38            16.384 ~DF539F.tmp
23.09.2006  11:42            32.707 SHealLang.ini
23.09.2006  11:36            32.138 MWLanguage.ini
23.09.2006  09:45               175 mst36.bat
23.09.2006  09:45                 0 win42.tmp
23.09.2006  09:45                 0 win40.tmp
23.09.2006  09:45           107.008 win3F.tmp.exe
23.09.2006  09:45                 0 win3B.tmp
23.09.2006  09:45                43 removalfile.bat
23.09.2006  09:45                 0 win39.tmp
23.09.2006  09:45             1.109 win37.tmp
22.09.2006  21:01                 0 CacheInfo.dnl
20.09.2006  00:28               717 control.xml
19.09.2006  16:56               128 F65C8971.TMP
17.09.2006  19:42                98 62AED3D0.TMP
10.09.2006  17:22             5.273 TWAIN.LOG
10.09.2006  17:21                 3 Twain001.Mtx
10.09.2006  17:21               156 Twunk001.MTX
10.09.2006  16:51            52.092 fb71_appcompat.txt
06.09.2006  07:11             4.160 java_install_reg.log

Ich danke euch jetzt schon einmal für die Mühe, die ihr euch macht.

Viele Grüße von Coolgonzo

**troja** · 25.09.2006, 22:05

Hallo Coolgonzo.

WICHTIG:.
Bevor wir mit der Reinigung anfangen, deaktiviere bitte unbedingt den Tea Timer von Spybot Search & Destroy..
Er kann die Reinigungsarbeiten nämlich stören bzw. verhindern.

Hier sind zwei Seiten, wo Du gefundene Dateien hochladen kannst, damit sie mit mehreren Scannern untersucht werden.

Mach das mit folgenden Dateien auf beiden Seiten:

...C:\WINDOWS\system32\gebbbxu.dll
...C:\WINDOWS\ShowWnd.exe
...

Teile uns alle Einzel-Scan-Ergebnisse mittels kopieren & einfügen , egal wie sie auch ausfallen mit (Beispiel).

Dann kannst du bitte schon mal folgendes vorbereiten( allso den VundoFix runterladen), aber noch nicht ausführen.
Erst auf unsere Anweisung.Wir brauchen erst das Ergebnis von Jotti und Virustotal.

Lade die VundoFix.exe herunter und speichere sie auf deinem Desktop.

Mach einen Doppelklick auf die VundoFix.exe, um sie zu starten.
Wenn das VundoFix wieder aufgeht, klicke auf den Scan for Vundo Button.
Wenn es gescannt hat, klicke auf den Remove Vundo Button.
Nun wirst du gefragt, ob du die Dateien entfernen willst? Klicke auf YES
Wenn du auf "Yes" geklickt hast, wird dein Desktop hell werden, um den Vundo zu entfernen.
Wenn dieser Vorgang beendet ist, wirst du gefragt, ob du deinen Rechner neu aufstarten möchtest, klick auf OK.
Bitte poste den Inhalt des C:\vundofix.txt und ein neues HiJackThis Logfile.

Hinweis: es kann sein, dass das VundoFix die eine oder andere Datei aufzählt, die es nicht entfernen konnte. Lass in diesem Falle das VundoFix nach dem neu aufstarten nochmal laufen, und folge den Anweisungen ab

Danke Troja

**coolgonzo** · 27.09.2006, 21:21

Here are the results of my computer

File: gebbbxu.dll

Status: INFECTED/MALWARE (Note: this file has been scanned before.
Therefore, this file's scan results will not be stored in the database)
MD5 23594e584c0edb3b3e0decfe6ac4181a
Packers detected: -

Scanner results

AntiVir
Found Trojan/Vundo.Gen
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found Generic.QRM
BitDefender
Found Trojan.Agent.VX
ClamAV
Found nothing
Dr.Web
Found Trojan.Virtumod
F-Prot Antivirus
Found nothing
Fortinet
Found Adware/Virtumionde
Kaspersky Anti-Virus
Found not-a-virus:AdWare.Win32.Virtumonde.dt
NOD32
Found a variant of Win32/TrojanDownloader.ConHook
Norman Virus Control
Found W32/Vundo.gen1
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found AdWare.Win32.Virtumionde.dt

Betreff [VirusTotal] Server notification

Complete scanning result of "gebbbxu.dll", processed in VirusTotal at 09/27/2006
21:34:16 (CET).

[ file data ]
* name: gebbbxu.dll
* size: 40973
* md5.: 23594e584c0edb3b3e0decfe6ac4181a
* sha1: 94f9140333410afea99d1bc8cd325f254b3e9f2d

[ scan result ]
AntiVir 7.2.0.18/20060927 found [TR/Vundo.Gen]
Authentium 4.93.8/20060927 found nothing
Avast 4.7.892.0/20060927 found nothing
AVG 386/20060927 found [Adware Generic.QRM]
BitDefender 7.2/20060927 found [Trojan.Agent.VX]
CAT-QuickHeal 8.00/20060927 found [AdWare.Virtumionde.dt (Not a Virus)]
ClamAV devel-20060426/20060927 found nothing
DrWeb 4.33/20060927 found [Trojan.Virtumod]
eTrust-InoculateIT 23.73.6/20060927 found nothing
eTrust-Vet 30.3.3103/20060927 found [Win32/Chisyne!generic]
Ewido 4.0/20060927 found [Adware.Virtumionde]
F-Prot 3.16f/20060927 found nothing
F-Prot4 4.2.1.29/20060927 found nothing
Fortinet 2.82.0.0/20060927 found [Adware/Virtumionde]
Ikarus 0.2.65.0/20060927 found nothing
Kaspersky 4.0.2.24/20060927 found [not-a-virus:AdWare.Win32.Virtumonde.dt]
McAfee 4861/20060927 found [Vundo]
Microsoft 1.1603/20060927 found nothing
NOD32v2 1.1780/20060927 found [a variant of Win32/TrojanDownloader.ConHook]
Norman 5.80.02/20060927 found [W32/Vundo.gen1]
Panda 9.0.0.4/20060927 found [Spyware/Virtumonde]
Sophos 4.10.0/20060927 found nothing
Symantec 8.0/20060927 found [Downloader]
TheHacker 6.0.1.084/20060927 found nothing
UNA 1.83/20060927 found [Adware.Virtumionde.3D46]
VBA32 3.11.1/20060927 found [AdWare.Win32.Virtumionde.dt]
VirusBuster 4.3.7:9/20060927 found nothing

File: ShowWnd.exe

Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be

stored in the database)
MD5 b8e7353996d0757e2b8f47be702074be
Packers detected: -

Scanner results

AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Complete scanning result of "ShowWnd.exe",
processed in VirusTotal at 09/27/2006 22:09:08 (CET).
[ file data ]* name: ShowWnd.exe* size: 36864*

md5.: b8e7353996d0757e2b8f47be702074be* sha1: c62ed71d43c26960adad6b01416b84b3bcf64655
[ scan result ]

AntiVir 7.2.0.18/20060927 found nothingAuthentium 4.93.8/20060927 found nothing

Avast 4.7.892.0/20060927 found nothingAVG 386/20060927 found nothing

BitDefender 7.2/20060927 found nothingCAT-QuickHeal 8.00/20060927 found nothingClamAV devel-

20060426/20060927 found nothingDrWeb 4.33/20060927 found nothing
e
Trust-InoculateIT 23.73.6/20060927 found nothing
e
Trust-Vet 30.3.3103/20060927 found nothing

Ewido 4.0/20060927 found nothing

F-Prot 3.16f/20060927 found nothing

F-Prot4 4.2.1.29/20060927 found nothingFortinet 2.82.0.0/20060927 found nothingIkarus 0.2.65.0/20060927

found nothingKaspersky 4.0.2.24/20060927 found nothingMcAfee 4861/20060927 found nothingMicrosoft

1.1603/20060927 found nothingNOD32v2 1.1780/20060927 found nothingNorman 5.80.02/20060927 found

nothingPanda 9.0.0.4/20060927 found nothing

Sophos 4.10.0/20060927 found nothingSymantec 8.0/20060927 found nothing

TheHacker 6.0.1.084/20060927 found nothing
UNA 1.83/20060927 found nothingVBA32 3.11.1/20060927 found nothing

VirusBuster 4.3.7:9/20060927 found nothing

Als ich zum Versenden der Dateien ins Internet gegangen bin zeigte mir ein Popup, dass mein Rechner

nicht sicher wäre und leitete mich um auf folgende Seite:

http://www.amaena.com/securityworm58/index.php?

ax=1&ex=2&h=10&mpt=1159386008&aid=nm_bs_wav_kw&lid=virus&aff id=nm_862_95c6a6644e5e11dba1b400167647fa98_f

8459504+c8dd835d8e9a458eaf105a4f67ddf756

Danach ging dann noch folgende Seite auf:

http://de.winantivirus.com/download/2006/?p=15&j=1&ex=1&ax=1&h=10&aid=nm_bs_wav_1026_de_de&lid=keyin

Sind das wirklich Seiten von Microsoft???
Sieht mir irgendwie nicht danach aus???

Freu mich schon von euch zu hören!!!

Viele Grüße von Coolgonzo (Toll dass es euch gibt!!)

**coolgonzo** · 27.09.2006, 22:49

Sorry Troja,

danke karl83,

hab das mit den Links verschlafen, da ich den Text aus dem Editor kopiert habe.

Gruß Coolgonzo

**troja** · 29.09.2006, 22:10

Hallo Coolgonzo und entschuldige bitte die Wartezeit.

Zu deiner Information: Du brauchst den Teatimer nicht die ganze Zeit zu deaktivieren.
Lediglich, wenn du irgendeine Reinigung durchführst.

Jetzt sei bitte so nett und

besuche folgende Netz-Adresse:
http://www.thespykiller.co.uk/forum/index.php?board=1.0
Du brauchst dich nicht zu registrieren.
Eröffne einen neuen Thread mit dem Button (1) "New Topic"
Damit klappt ein neues Fenster auf:

Gib deinen Namen (2) und deine Email-Adresse (3) an.
Gib in der Betreffzeile ("Subject") (4) an, um welche Malware es sich handelt: "ShowWnd.exe"
Verweise auf deinen Thread bei uns (5), gib die URL deines Threads bei uns an:

gebbbxu.dll wird von AV Vir als Trojaner erkannt

Suche nun mit der Funktion "Browse" (6) die Datei(en) C:\WINDOWS\ShowWnd.exe <- auf deinem Rechner

und lade sie hoch.
Gib bitte folgende Information dazu an:

Code:

File: ShowWnd.exe

Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be

stored in the database)
MD5 b8e7353996d0757e2b8f47be702074be
Packers detected: -

Scanner results

AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
UNA
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing



Complete scanning result of "ShowWnd.exe",
processed in VirusTotal at 09/27/2006 22:09:08 (CET).
[ file data ]* name: ShowWnd.exe* size: 36864*

md5.: b8e7353996d0757e2b8f47be702074be* sha1: c62ed71d43c26960adad6b01416b84b3bcf64655
[ scan result ]

AntiVir 7.2.0.18/20060927 found nothingAuthentium 4.93.8/20060927 found nothing

Avast 4.7.892.0/20060927 found nothingAVG 386/20060927 found nothing

BitDefender 7.2/20060927 found nothingCAT-QuickHeal 8.00/20060927 found nothingClamAV devel-

20060426/20060927 found nothingDrWeb 4.33/20060927 found nothing
e
Trust-InoculateIT 23.73.6/20060927 found nothing
e
Trust-Vet 30.3.3103/20060927 found nothing

Ewido 4.0/20060927 found nothing

F-Prot 3.16f/20060927 found nothing

F-Prot4 4.2.1.29/20060927 found nothingFortinet 2.82.0.0/20060927 found nothingIkarus 0.2.65.0/20060927

found nothingKaspersky 4.0.2.24/20060927 found nothingMcAfee 4861/20060927 found nothingMicrosoft

1.1603/20060927 found nothingNOD32v2 1.1780/20060927 found nothingNorman 5.80.02/20060927 found

nothingPanda 9.0.0.4/20060927 found nothing

Sophos 4.10.0/20060927 found nothingSymantec 8.0/20060927 found nothing

TheHacker 6.0.1.084/20060927 found nothing
UNA 1.83/20060927 found nothingVBA32 3.11.1/20060927 found nothing

VirusBuster 4.3.7:9/20060927 found nothing

(Das hat den Hintergrund, dass die Kollegen schonmal unsere bis hierher
gesammelten Informationen erhalten.)

Damit hast du einen neuen Thread mit dem Anhang deiner Datei bei
"thespykiller" eröffnet.
Man wird die Datei finden, analysieren und
an die Hersteller von Antivirus- und Anti-Spyware-Programmen
weiterleiten.

Drücke auf "Post" (7).

Nun hast du einen neuen Thread mit dem Anhang deiner Dateien bei "thespykiller" eröffnet, man wird die Datei finden, analysieren und an die Hersteller von Antivirus- und Anti-Spyware-Programmen weiterleiten.

Hinweis: nur authorisierte User können die hochgeladenen Dateien sehen. Bitte vermeide es, Dateien mehr als einmal hochzuladen.
Bitte teile uns den Link zu deinem Thread bei TheSpykiller mit und lass uns wissen, ob der Upload geklappt hat.

Wenn du das gemacht hast lasse bitte VundoFix laufen.
Bitte poste den Inhalt des C:\vundofix.txt und ein neues HiJackThis Logfile.

Danke und viel Glück Troja

**coolgonzo** · 29.09.2006, 22:37

Hallo Troja,

erst einmal vielen Dank für die prompte Hilfe.

Denke mal, dass der Upload nach spykiller geklappt hat.
Nachstehend der benötigte Pfad.

http://www.thespykiller.co.uk/forum/...p?topic=2692.0

Schwing mich jetzt erst mal an den VundoFix.

Bis später.

Grüße Coolgonzo

**troja** · 29.09.2006, 23:16

Hallo Coolgonzo.

Deine Dateien sind sicher hochgeladen worden.
Gute Arbeit

Troja

**coolgonzo** · 29.09.2006, 23:44

Hallo Troja,

So hab den VundoFix laufen lassen.

Das war schon mal Klasse, die Datei gebbbxu.dll liegt jetzt in einem Ordner Namens VundoFix Backups und hat die Endung .bad

Beim Runterfahren des Rechners ist er allerdings stehen geblieben, habe ihn dann nach einer Viertelstunde mittels Stromabschalten ausgemacht.
NAch dem Hochfahren meldet mir AntiVir nun die Datei
c:\WINDOWS\SYSTEM32\geebb.dll ist ein Trojaner, der ließ sich aber wieder genausowenig löschen wie gebbbxu.dll.

Weiterhin kam die Datei hggbpond.dll, diese ließ sich wenigstens in die Quarantäne verschieben.

Außerdem ging nach dem Öffnen des IE nach kurzer Zeit noch ein neues Fenster auf mit folgender Adresse:

partypoker.com/om/fullpagepopup2.htm?wm=2558735

Ich glaub wir sind noch nicht am Ende

Liebe Grüße Coolgonzo

Die Berichte von AntiVir, VundoFix und HiJackThis folgen unten:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 30. September 2006 00:17

Es wird nach 515411 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Ralf
Computername: FAMILIENTEIL

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 19.09.2006 21:16:32
AVSCAN.DLL : 7.0.0.45 41000 19.09.2006 21:16:32
LUKE.DLL : 7.0.0.47 118824 19.09.2006 21:16:32
LUKERES.DLL : 7.0.0.47 9256 19.09.2006 21:16:32
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 18:56:16
ANTIVIR1.VDF : 6.36.0.9 1424384 06.09.2006 21:16:33
ANTIVIR2.VDF : 6.36.0.71 284160 25.09.2006 16:39:30
ANTIVIR3.VDF : 6.36.0.83 38912 29.09.2006 22:06:24
AVEWIN32.DLL : 7.2.0.22 1860096 29.09.2006 22:06:24
AVPREF.DLL : 7.0.0.2 23080 19.09.2006 21:16:32
AVREP.DLL : 6.36.0.5 806952 19.09.2006 21:16:33
AVRPBASE.DLL : 7.0.0.0 2162728 08.05.2006 20:58:53
AVPACK32.DLL : 7.2.0.0 368680 19.09.2006 21:16:33
AVREG.DLL : 6.31.0.90 27688 28.07.2005 09:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 06:56:47
NETNW.DLL : 7.0.0.0 9768 19.09.2006 21:16:32
RCIMAGE.DLL : 7.0.0.74 1642536 19.09.2006 21:16:29
RCTEXT.DLL : 7.0.1.4 77864 27.09.2006 16:39:29

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Windows Systemverzeichnis
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\sysdir.avp
Bootsektoren..................: C
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Samstag, 30. September 2006 00:17

Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 13 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 24 Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\WINDOWS\system32\geebb.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\hggbpond.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.K.5
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45849bf5.qua' verschoben!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Samstag, 30. September 2006 00:18
Benötigte Zeit: 01:35 min

Der Suchlauf wurde vollständig durchgeführt.

343 Verzeichnisse wurden überprüft
8203 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
14 Archive wurden durchsucht
11 Warnungen
0 Hinweise

VundoFix V6.1.6

Checking Java version...

Sun Java not detected
Scan started at 23:41:07 29.09.2006

Listing files found while scanning....

C:\WINDOWS\system32\gebbbxu.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\gebbbxu.dll
C:\WINDOWS\system32\gebbbxu.dll Has been deleted!

Performing Repairs to the registry.
Done!

Logfile of HijackThis v1.99.1Scan saved at 00:25:16, on 30.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\CmUCReye.exe
C:\Programme\Medion Info Display\MdionLCM.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Ralf\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &VSToolBar - {821F87FF-8245-4972-9E28-732E92EC2F51} - C:\Programme\VSToolbar\VSToolBar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [MedionVFD] "C:\Programme\Medion Info Display\MdionLCM.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=051206 serial=DR12WTX-9999998-YSP lang=EN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {A461BF3E-96B0-488F-9ACA-202335DDCC4B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1128778405937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1141142460296
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EB8451D-59C1-475D-93CD-8ED5F95BB73D}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Thema: gebbbxu.dll wird von AV Vir als Trojaner erkannt

Themen-Optionen

gebbbxu.dll wird von AV Vir als Trojaner erkannt

AW: gebbbxu.dll wird von AV Vir als Trojaner erkannt

AW: gebbbxu.dll wird von AV Vir als Trojaner erkannt

AW: gebbbxu.dll wird von AV Vir als Trojaner erkannt

AW: gebbbxu.dll wird von AV Vir als Trojaner erkannt

AW: gebbbxu.dll wird von AV Vir als Trojaner erkannt

AW: gebbbxu.dll wird von AV Vir als Trojaner erkannt

AW: gebbbxu.dll wird von AV Vir als Trojaner erkannt

AW: gebbbxu.dll wird von AV Vir als Trojaner erkannt

AW: gebbbxu.dll wird von AV Vir als Trojaner erkannt

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

Bitdefender 9 wird nicht als Firewall erkannt

Bösartiger Dienst, wird bisher von HjT nicht erkannt

F-Secure 2006 wird nicht als Firewall erkannt

Bitte Logfile kontrollieren. wird als Böse erkannt.

Kerio 2.x Firewall wird nicht erkannt von HJT.de

Berechtigungen