|
Log-Analyse und Auswertung: TR/Vundo.Gen - gebca.dllWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.09.2007, 10:50 | #1 |
| TR/Vundo.Gen - gebca.dll hallo, mich hat auch die vondo-plage erwischt ... meine selbstversuche ihn zu beseitigen sind leider alle gescheitert - dashalb bitte ich hier um hilfe. avira antivir erkennt sofort nach dem boot des pcs das hier: C:\WINDOWS\system32\gebca.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen - kann ihn aber nicht löschen. nach 20 x zugriff verweigern und/oder ignorieren startet windows ... auch killbox.exe kann die datei (auch nicht bei booten und im abgesicherten modus) löschen. hier schon mal das HJT log: !! den gebca.dll eintrag hat es erst angezeigt, nachdem ich hijackthis.exe in "pruefung.com" umbenannt habe !!!! Logfile of HijackThis v1.99.1 Scan saved at 11:56:14, on 28.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Temp\Pruefung.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = =h**p://w*w.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {CA6AD5D6-243D-472E-A544-993E637EBB3D} - C:\WINDOWS\system32\gebca.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll O11 - Options group: [INTERNATIONAL] International* O20 - Winlogon Notify: gebca - C:\WINDOWS\system32\gebca.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Geändert von space_lord (28.09.2007 um 11:05 Uhr) |
28.09.2007, 11:43 | #2 |
/// TB-Ausbilder | TR/Vundo.Gen - gebca.dll Hi,
__________________Vundo-Dateien sind durch weitere Dateien geschützt und lassen sich daher nicht so leicht entfernen. Daher benutzt du am besten Vundofix: Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. Erstelle bitte außerdem noch ein Log von filelist: Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Poste bitte die beiden Logs hier im Thread zusammen mit einem neuen Hijackthislog. lg myrtille |
28.09.2007, 12:53 | #3 |
| TR/Vundo.Gen - gebca.dll danke für die schnelle antwort !
__________________vundofix habe ich auch schon versucht - konnte ebenfalls die datei nicht löschen - ach nicht beim boot, auch nicht im abgesicherten modus. hier das log von filelist: --- Root ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5425-D40E Verzeichnis von C:\ 28.09.2007 11:13 2.097.152.000 pagefile.sys 27.09.2007 00:33 4.646 VundoFix.txt 26.09.2007 08:52 211 boot.ini 27.09.2006 21:14 7 NOTACER.ID ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5425-D40E Verzeichnis von C:\WINDOWS\system32 28.09.2007 13:48 416 acbeg.ini 28.09.2007 11:32 4.924 jupdate-1.6.0_02-b06.log 28.09.2007 11:14 55.081 vsconfig.xml 26.09.2007 23:52 249.772 TZLog.log 26.09.2007 23:46 13.646 wpa.dbl 25.09.2007 16:09 693.938 htvkremp.ini 23.09.2007 22:00 693.818 gsstnotm.ini 22.09.2007 00:55 693.578 hqhktdnf.ini 20.09.2007 23:05 695.216 gfnfqvpd.ini 19.09.2007 23:04 695.096 gtowinmc.ini 18.09.2007 17:51 694.915 mgckfsao.ini 17.09.2007 18:57 694.795 ldmghrwk.ini 16.09.2007 12:18 694.556 ofitxcpf.ini 15.09.2007 11:59 694.376 amqlyqia.ini 13.09.2007 19:35 694.255 xftfsoyh.ini 12.09.2007 17:02 694.016 actymlpo.ini 11.09.2007 17:24 693.776 wsltnoxr.ini 10.09.2007 09:33 693.595 gkfdohlb.ini 08.09.2007 14:35 693.596 jctjrtlt.ini 06.09.2007 20:34 624.887 ojnmrjta.ini 06.09.2007 19:35 641.494 suarsqge.ini 05.09.2007 19:50 17.474.680 MRT.exe 04.09.2007 19:02 739.392 goworcfl.ini 03.09.2007 19:05 739.212 anonwsin.ini 02.09.2007 18:34 1.291.340 eyijmqjw.ini 01.09.2007 15:02 1.291.041 rtiqnmcv.ini ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5425-D40E Verzeichnis von C:\WINDOWS\Prefetch 28.09.2007 13:48 15.080 CMD.EXE-087B4001.pf 28.09.2007 13:48 15.920 NOTEPAD.EXE-336351A9.pf 28.09.2007 13:47 72.916 WINRAR.EXE-3588DFE8.pf 28.09.2007 13:47 96.330 FIREFOX.EXE-1D57670A.pf 28.09.2007 13:45 72.100 OUTLOOK.EXE-179DEC04.pf 28.09.2007 13:26 65.412 WMPLAYER.EXE-09969339.pf 28.09.2007 13:04 59.326 WMIPRVSE.EXE-28F301A9.pf 28.09.2007 13:04 95.726 WUAUCLT.EXE-399A8E72.pf 28.09.2007 12:19 11.582 VERCLSID.EXE-3667BD89.pf 28.09.2007 12:17 18.074 GUARDGUI.EXE-1BD45C30.pf 28.09.2007 11:50 16.522 HIJACKTHIS.EXE-0DC625F6.pf 28.09.2007 11:50 18.058 TASKMGR.EXE-20256C55.pf 28.09.2007 11:39 11.676 CACLS.EXE-25504E4A.pf 28.09.2007 11:39 62.684 AVSCAN.EXE-05AECC0E.pf 28.09.2007 11:34 124.580 AVNOTIFY.EXE-22AE9451.pf 28.09.2007 11:31 91.298 MSIEXEC.EXE-2F8A8CAE.pf 28.09.2007 11:30 75.106 UPDCLIENT.EXE-215FC96B.pf 28.09.2007 11:21 55.432 INTEGRATOR.EXE-3967D297.pf 28.09.2007 11:20 71.508 RUNDLL32.EXE-13404D23.pf 28.09.2007 11:15 14.992 CTFMON.EXE-0E17969B.pf 28.09.2007 11:15 757.292 NTOSBOOT-B00DFAAD.pf 28.09.2007 11:12 21.050 LOGONUI.EXE-0AF22957.pf 28.09.2007 11:12 65.238 AVCENTER.EXE-37584419.pf 28.09.2007 10:56 21.768 EXPLORER.EXE-082F38A9.pf 28.09.2007 10:55 22.310 REGSVR32.EXE-25EEFE2F.pf 28.09.2007 10:53 44.774 SMAX4PNP.EXE-2279C3AD.pf 28.09.2007 10:53 20.212 ATIPTAXX.EXE-12B5048A.pf 28.09.2007 10:53 36.528 ZLCLIENT.EXE-0120F620.pf 28.09.2007 10:53 6.468 ATIPRBXX.EXE-2EF3CAC1.pf 27.09.2007 20:17 118.150 WOW.EXE-0A286CF2.pf 27.09.2007 19:44 66.650 TEAMSPEAK.EXE-1C1FA5B1.pf 27.09.2007 17:53 70.042 WINWORD.EXE-0AEA99D4.pf 27.09.2007 17:50 25.372 RUNDLL32.EXE-451FC2C0.pf 27.09.2007 17:47 16.644 IMAPI.EXE-0BF740A4.pf 27.09.2007 17:46 81.922 NERO.EXE-32314E31.pf 27.09.2007 17:10 59.874 AVGNT.EXE-36CA4640.pf 27.09.2007 17:10 29.304 SMAX4.EXE-2B732B8E.pf 27.09.2007 16:06 62.634 UPDATE.EXE-0D35AD82.pf 27.09.2007 16:06 101.476 FIREFOX.EXE-17EE503B.pf 27.09.2007 01:01 57.166 LAUNCHER.EXE-01279493.pf 27.09.2007 01:00 46.218 IEXPLORE.EXE-2CA9778D.pf 27.09.2007 00:46 99.252 POWERDVD.EXE-35D9A3BA.pf 27.09.2007 00:46 10.110 OLRSTATECHECK.EXE-1F860D6C.pf 27.09.2007 00:39 35.384 DIVXSM.EXE-3407AB62.pf 27.09.2007 00:38 174.506 WMPLAYER.EXE-0996933A.pf 27.09.2007 00:33 12.710 REGEDIT.EXE-1B606482.pf 27.09.2007 00:33 10.236 VUNDOFIXSVC.EXE-18ADD79E.pf 27.09.2007 00:33 11.516 SHUTDOWN.EXE-12DAD820.pf 27.09.2007 00:33 19.082 VUNDOFIX.EXE-15B6622A.pf 26.09.2007 22:19 53.206 UPDATE.EXE-08061380.pf 26.09.2007 22:16 53.340 UPDATE.EXE-39E17E08.pf 26.09.2007 22:08 19.236 SPUNINST.EXE-1E5EAF9E.pf 26.09.2007 22:08 16.074 MSFEEDSSYNC.EXE-25E13438.pf 26.09.2007 22:08 37.236 IESETUP.EXE-1ADFF9C0.pf 26.09.2007 22:07 56.656 IE7-WINDOWSXP-X86-DEU_2.EXE-2130235E.pf 26.09.2007 22:04 30.232 RUNDLL32.EXE-3910966A.pf 26.09.2007 22:03 23.952 RUNDLL32.EXE-478066E2.pf 26.09.2007 22:03 15.344 RUNDLL32.EXE-14B29E97.pf 26.09.2007 22:03 45.112 RUNDLL32.EXE-2D08F0BC.pf 26.09.2007 22:00 46.008 RUNDLL32.EXE-12672621.pf 26.09.2007 22:00 35.894 RUNDLL32.EXE-12D2C527.pf 26.09.2007 22:00 30.708 RUNDLL32.EXE-125C598E.pf 26.09.2007 22:00 37.928 RUNDLL32.EXE-135E9194.pf 26.09.2007 21:59 20.186 RUNDLL32.EXE-29A2BA7C.pf 26.09.2007 21:58 30.006 WUPDMGR.EXE-2F30BEAB.pf 26.09.2007 21:50 27.856 WOW-2.1.3.6898-TO-2.2.0.7272--2C3AA9FF.pf 26.09.2007 21:49 52.044 UPDATE.EXE-13D57D76.pf 26.09.2007 21:49 21.470 PREUPD.EXE-358AA1C1.pf 26.09.2007 21:43 7.042 HIJACKTHIS.EXE-276ED821.pf 26.09.2007 21:42 28.108 DRWTSN32.EXE-2B4B52AC.pf 26.09.2007 21:42 8.190 HIJACKTHIS.EXE-3432A30E.pf 26.09.2007 21:21 58.008 DFRGNTFS.EXE-269967DF.pf 26.09.2007 21:21 19.874 DEFRAG.EXE-273F131E.pf 26.09.2007 21:21 332.732 Layout.ini 26.09.2007 21:02 17.026 TOOL_DE.COM-256BD612.pf 26.09.2007 20:58 14.598 _IU14D2N.TMP-2686A517.pf 26.09.2007 20:58 15.660 UNINS000.EXE-21ACA383.pf 26.09.2007 20:56 11.454 SC.EXE-012262AF.pf 26.09.2007 20:55 28.272 ANTISPYWAREBOT.EXE-07DB7959.pf 26.09.2007 20:55 19.404 LAUNCHER.EXE-24226EC9.pf 26.09.2007 20:55 19.754 IS-QH673.TMP-1AF51571.pf 26.09.2007 20:55 17.404 SETUP.EXE-2DDE7099.pf 26.09.2007 10:06 17.150 CTDETECT.EXE-2501E4F9.pf 26.09.2007 10:00 60.624 CTCMS.EXE-02942F66.pf 26.09.2007 09:00 28.654 MSCONFIG.EXE-35E4DAE9.pf 25.09.2007 22:53 27.476 BACKGROUNDDOWNLOADER.EXE-11504D59.pf 25.09.2007 19:25 71.038 STARTUPMANAGER.EXE-2D368FFC.pf 25.09.2007 17:30 49.954 AVGUARD.EXE-3490B18B.pf 25.09.2007 17:26 23.502 HIJACKTHIS.EXE-033E6CBD.pf 25.09.2007 17:26 35.016 AD-AWARE.EXE-308139F4.pf 25.09.2007 17:19 48.280 XPCLEAN.EXE-3A68A896.pf 25.09.2007 17:19 88.958 ACDSEE6.EXE-053FB6EE.pf 25.09.2007 16:49 9.182 UNINSTALL.EXE-15278D8E.pf 25.09.2007 16:49 37.514 WRAR371D.EXE-35650B7E.pf 25.09.2007 16:29 38.304 NAPSTERHELPER.EXE-0D297AE6.pf 25.09.2007 16:28 73.872 NAPSTER.EXE-2B6A5F0E.pf 25.09.2007 16:26 31.248 IDRIVER.EXE-01082F70.pf 25.09.2007 16:26 26.050 SETUP.EXE-21579349.pf 25.09.2007 16:26 3.294 MSI1C.TMP-09475ECD.pf 25.09.2007 16:26 21.198 IDRIVER.EXE-2E776D3F.pf 25.09.2007 16:25 19.852 NAPSTERSETUP-DE-3.8.1.4[1].EX-0A17F5E8.pf 25.09.2007 16:14 30.040 DB0921.EXE-092E297F.pf 25.09.2007 16:10 37.930 ALG.EXE-0F138680.pf 23.09.2007 22:03 6.248 BNUPDATE.EXE-19B05C6C.pf 23.09.2007 22:03 36.826 INSTALLER.EXE-15E882F9.pf 22.09.2007 13:19 19.000 THEMAT~1.SCR-177DEDE6.pf 21.09.2007 17:15 75.476 REGISTRYCLEANER.EXE-17B6D63B.pf 21.09.2007 17:15 49.240 SYSTEMOPTIMIZER.EXE-2D3174F1.pf 21.09.2007 17:07 17.714 RUNDLL32.EXE-12E27DD0.pf 20.09.2007 23:07 261.098 HELPSVC.EXE-2878DDA2.pf 20.09.2007 19:34 29.374 SETUP_WM.EXE-19AC5A9B.pf 20.09.2007 19:34 5.392 WMPLAYER.EXE-0996933B.pf 19.09.2007 23:13 20.746 RUNDLL32.EXE-3D23E00F.pf 19.09.2007 23:13 66.222 PHOTODRW.EXE-07B519DB.pf 18.09.2007 23:56 79.178 QUICKTIMEPLAYER.EXE-1683395B.pf 17.09.2007 22:33 85.362 ACRORD32.EXE-0EC716D9.pf 12.09.2007 17:35 126.622 SKYPE.EXE-21F19BC8.pf 09.09.2007 16:40 19.776 A~NSISU_.EXE-2803C88F.pf 09.09.2007 16:40 16.510 UNINST.EXE-2F90677E.pf 09.09.2007 16:37 22.540 NETSTUMBLER.EXE-11771F6A.pf 09.09.2007 16:37 39.926 HH.EXE-2D1A70B3.pf 09.09.2007 16:37 18.942 NETSTUMBLERINSTALLER_0_4_0.EX-18512D04.pf 08.09.2007 15:17 28.914 SCHED.EXE-236A886F.pf 08.09.2007 15:16 40.738 UPDATE.EXE-339B55B3.pf 08.09.2007 15:13 54.526 DISKDOCTOR.EXE-0F7C3625.pf 08.09.2007 14:41 13.780 NET1.EXE-029B9DB4.pf 08.09.2007 14:41 13.358 NET.EXE-01A53C2F.pf 08.09.2007 14:36 59.810 SVCHOST.EXE-3530F672.pf 04.09.2007 19:51 72.458 DBLOCALSERVER.EXE-1799E8E2.pf 04.09.2007 19:27 96.402 REALPLAY.EXE-39F79CBD.pf 130 Datei(en) 6.573.538 Bytes 0 Verzeichnis(se), 8.823.316.480 Bytes frei ----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5425-D40E Verzeichnis von C:\WINDOWS 28.09.2007 13:04 1.250.028 WindowsUpdate.log 28.09.2007 11:14 0 0.log 28.09.2007 11:13 159 wiadebug.log 28.09.2007 11:13 50 wiaservc.log 28.09.2007 11:13 2.048 bootstat.dat 28.09.2007 10:59 643.870 ntbtlog.txt 28.09.2007 10:58 32.634 SchedLgU.Txt 27.09.2007 16:21 60 setupact.log 27.09.2007 16:14 85.550 setupapi.log 27.09.2007 16:10 9.943 iis6.log 27.09.2007 16:10 20.705 comsetup.log 27.09.2007 16:10 12.552 ntdtcsetup.log 27.09.2007 16:10 1.374 imsins.log 27.09.2007 16:10 23.590 tsoc.log 27.09.2007 16:10 3.420 ocmsn.log 27.09.2007 16:10 48.962 KB937143-IE7.log 27.09.2007 16:10 29.160 ocgen.log 27.09.2007 16:10 3.030 msgsocm.log 27.09.2007 16:10 61.829 FaxSetup.log 27.09.2007 16:09 45.024 updspapi.log 27.09.2007 16:09 1.374 imsins.BAK 27.09.2007 16:09 60.329 KB938127-IE7.log 27.09.2007 00:07 7.939 spupdsvc.log 26.09.2007 23:53 61.510 KB936021.log 26.09.2007 23:53 57.930 KB938828.log 26.09.2007 23:53 60.383 KB921503.log 26.09.2007 23:53 56.802 KB938829.log 26.09.2007 23:53 8.146 KB939683.log 26.09.2007 23:52 45.854 KB933360.log 26.09.2007 23:52 290.278 msxml4-KB936181-enu.LOG 26.09.2007 23:52 8.388 KB936782.log 26.09.2007 23:52 1.017 wmsetup.log 26.09.2007 23:48 31.930 ie7_main.log 26.09.2007 23:48 50.052 ie7.log 26.09.2007 23:46 7.179 IDNMitigationAPIs.log 26.09.2007 23:45 7.235 NLSDownlevelMapping.log 26.09.2007 23:45 6.145 KB915865.log 26.09.2007 23:43 707 iereseticons.log 26.09.2007 22:14 29.096 ie7Uninst.log 26.09.2007 08:52 661 win.ini 26.09.2007 08:52 227 system.ini 23.09.2007 22:15 116 NeroDigital.ini 18.09.2007 23:38 54.156 QTFont.qfn 06.09.2007 19:53 111 telephon.ini ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5425-D40E Verzeichnis von C:\WINDOWS\tasks 28.09.2007 11:13 6 SA.DAT 26.09.2007 20:55 506 AntiSpywareBot Scheduled Scan.job 21.09.2007 17:15 398 1-Klick-Wartung.job 18.08.2001 14:00 65 desktop.ini 4 Datei(en) 975 Bytes 0 Verzeichnis(se), 8.823.308.288 Bytes frei ----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5425-D40E Verzeichnis von C:\WINDOWS\temp 28.09.2007 11:13 256 ZLT0212b.TMP 28.09.2007 11:13 256 ZLT02125.TMP 28.09.2007 11:10 256 ZLT01ea4.TMP 28.09.2007 11:10 256 ZLT01e9e.TMP 27.09.2007 17:08 256 ZLT062d1.TMP 27.09.2007 00:34 256 ZLT06a0a.TMP 27.09.2007 00:34 256 ZLT06a07.TMP 27.09.2007 00:31 256 ZLT06753.TMP 27.09.2007 00:31 256 ZLT0674f.TMP 27.09.2007 00:07 256 ZLT0551b.TMP 27.09.2007 00:07 256 ZLT05518.TMP 26.09.2007 23:49 256 ZLT04786.TMP 26.09.2007 23:49 256 ZLT0477f.TMP 26.09.2007 20:49 256 ZLT03d42.TMP 26.09.2007 10:54 256 ZLT075f4.TMP 26.09.2007 10:54 256 ZLT075ed.TMP 26.09.2007 10:24 256 ZLT05ed0.TMP 26.09.2007 10:24 256 ZLT05ec6.TMP 26.09.2007 10:12 256 ZLT055d2.TMP 26.09.2007 10:12 256 ZLT055ce.TMP 26.09.2007 10:08 256 ZLT052f3.TMP 26.09.2007 10:08 256 ZLT052f0.TMP 26.09.2007 08:58 256 ZLT01d5c.TMP 26.09.2007 08:58 256 ZLT01d52.TMP 26.09.2007 08:53 256 ZLT01972.TMP 26.09.2007 08:53 256 ZLT0196e.TMP 26.09.2007 08:39 256 ZLT00eef.TMP 26.09.2007 08:39 256 ZLT00ee5.TMP 25.09.2007 19:11 256 ZLT0245c.TMP 25.09.2007 17:23 256 ZLT051d7.TMP 25.09.2007 16:09 256 ZLT018c2.TMP 25.09.2007 16:08 256 ZLT018a5.TMP 21.09.2007 16:57 256 ZLT004e6.TMP 21.09.2007 16:57 256 ZLT004e0.TMP 18.09.2007 17:51 256 ZLT04409.TMP 17.09.2007 18:56 256 ZLT0281c.TMP 17.09.2007 18:56 256 ZLT027fb.TMP 17.09.2007 07:01 256 ZLT00480.TMP 17.09.2007 07:01 256 ZLT00463.TMP 16.09.2007 12:18 256 ZLT028af.TMP 12.09.2007 19:30 256 ZLT03ac7.TMP 11.09.2007 17:23 256 ZLT00bcd.TMP 10.09.2007 09:33 256 ZLT055ca.TMP 09.09.2007 12:33 256 ZLT011d8.TMP 08.09.2007 15:13 0 Upd25.tmp 08.09.2007 14:50 0 Upd20.tmp 08.09.2007 14:21 0 Upd1F.tmp 06.09.2007 19:33 256 ZLT068a6.TMP 06.09.2007 19:33 256 ZLT068a2.TMP ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5425-D40E Verzeichnis von C:\DOKUME~1\****\LOKALE~1\Temp 28.09.2007 13:48 143.767 filelist.txt 28.09.2007 11:32 636 java_install_reg.log 28.09.2007 11:30 0 java_install.log 27.09.2007 00:38 16.384 Perflib_Perfdata_20c.dat 27.09.2007 00:32 32.768 ~DFD50F.tmp 27.09.2007 00:18 32.768 ~DFAD29.tmp 26.09.2007 23:53 32.768 ~DF393B.tmp 26.09.2007 21:50 32.768 ~DFB9A0.tmp 26.09.2007 21:43 16.384 ~DF11ED.tmp 26.09.2007 21:42 16.384 ~DF8F80.tmp 26.09.2007 20:55 748.377 _iu14D2N.tmp 26.09.2007 10:26 32.768 ~DFA857.tmp 26.09.2007 10:14 32.768 ~DFFCA3.tmp 26.09.2007 10:10 32.768 ~DFFF68.tmp 26.09.2007 10:00 16.384 Perflib_Perfdata_210.dat 26.09.2007 09:07 32.768 ~DF55B9.tmp |
28.09.2007, 12:57 | #4 |
/// TB-Ausbilder | TR/Vundo.Gen - gebca.dll Hi, reiche bitte für den Ordner C:\Windows\system32 doch die letzten 3 Monate nach. Die Infizierung scheint schon länger zurückzuliegen. Die genannte Datei gebca.dll ist vorerst jedoch nicht zu sehen. Sicher, dass sie noch existiert? Poste bitte troztdem noch den vundofix-log lg myrtille |
28.09.2007, 13:05 | #5 |
| TR/Vundo.Gen - gebca.dll ja - leider . die gebca.dll existiert noch ... :-( hier das vundofix log (mehrmals versucht) VundoFix V6.5.9 Checking Java version... Sun Java not detected Scan started at 09:07:40 26.09.2007 Listing files found while scanning.... C:\WINDOWS\system32\acbeg.bak2 C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\acbeg.ini2 C:\windows\system32\cnglxtlo.ini C:\WINDOWS\system32\gebca.dll C:\windows\system32\oltxlgnc.dll C:\windows\system32\xdvucfmd.exe Beginning removal... Attempting to delete C:\WINDOWS\system32\acbeg.bak2 C:\WINDOWS\system32\acbeg.bak2 Has been deleted! Attempting to delete C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\acbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\acbeg.ini2 C:\WINDOWS\system32\acbeg.ini2 Has been deleted! Attempting to delete C:\windows\system32\cnglxtlo.ini C:\windows\system32\cnglxtlo.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Attempting to delete C:\windows\system32\oltxlgnc.dll C:\windows\system32\oltxlgnc.dll Has been deleted! Attempting to delete C:\windows\system32\xdvucfmd.exe C:\windows\system32\xdvucfmd.exe Has been deleted! Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\acbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Performing Repairs to the registry. Done! VundoFix V6.5.9 Checking Java version... Sun Java not detected Scan started at 10:14:55 26.09.2007 Listing files found while scanning.... C:\WINDOWS\system32\acbeg.bak1 C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\gebca.dll Beginning removal... Attempting to delete C:\WINDOWS\system32\acbeg.bak1 C:\WINDOWS\system32\acbeg.bak1 Has been deleted! Attempting to delete C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\acbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\acbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Performing Repairs to the registry. Done! VundoFix V6.5.9 Checking Java version... Sun Java not detected Scan started at 10:45:30 26.09.2007 Listing files found while scanning.... C:\windows\system32\acbeg.ini C:\WINDOWS\system32\gebca.dll Beginning removal... Attempting to delete C:\windows\system32\acbeg.ini C:\windows\system32\acbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Performing Repairs to the registry. Done! VundoFix V6.5.9 Checking Java version... Sun Java not detected Scan started at 23:53:35 26.09.2007 Listing files found while scanning.... C:\windows\system32\acbeg.bak2 C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\gebca.dll Beginning removal... Attempting to delete C:\windows\system32\acbeg.bak2 C:\windows\system32\acbeg.bak2 Has been deleted! Attempting to delete C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\acbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\acbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Performing Repairs to the registry. Done! VundoFix V6.5.9 Checking Java version... Sun Java not detected Scan started at 00:23:16 27.09.2007 Listing files found while scanning.... VundoFix V6.5.9 Checking Java version... Sun Java not detected Scan started at 00:27:25 27.09.2007 Listing files found while scanning.... C:\windows\system32\acbeg.ini C:\WINDOWS\system32\gebca.dll Beginning removal... Attempting to delete C:\windows\system32\acbeg.ini C:\windows\system32\acbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Performing Repairs to the registry. Done! ************ und hier das filelist log > 30 tage (alles 2007): ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5425-D40E Verzeichnis von C:\WINDOWS\system32 28.09.2007 14:08 416 acbeg.ini 28.09.2007 11:32 4.924 jupdate-1.6.0_02-b06.log 28.09.2007 11:14 55.081 vsconfig.xml 26.09.2007 23:52 249.772 TZLog.log 26.09.2007 23:46 13.646 wpa.dbl 25.09.2007 16:09 693.938 htvkremp.ini 23.09.2007 22:00 693.818 gsstnotm.ini 22.09.2007 00:55 693.578 hqhktdnf.ini 20.09.2007 23:05 695.216 gfnfqvpd.ini 19.09.2007 23:04 695.096 gtowinmc.ini 18.09.2007 17:51 694.915 mgckfsao.ini 17.09.2007 18:57 694.795 ldmghrwk.ini 16.09.2007 12:18 694.556 ofitxcpf.ini 15.09.2007 11:59 694.376 amqlyqia.ini 13.09.2007 19:35 694.255 xftfsoyh.ini 12.09.2007 17:02 694.016 actymlpo.ini 11.09.2007 17:24 693.776 wsltnoxr.ini 10.09.2007 09:33 693.595 gkfdohlb.ini 08.09.2007 14:35 693.596 jctjrtlt.ini 06.09.2007 20:34 624.887 ojnmrjta.ini 06.09.2007 19:35 641.494 suarsqge.ini 05.09.2007 19:50 17.474.680 MRT.exe 04.09.2007 19:02 739.392 goworcfl.ini 03.09.2007 19:05 739.212 anonwsin.ini 02.09.2007 18:34 1.291.340 eyijmqjw.ini 01.09.2007 15:02 1.291.041 rtiqnmcv.ini 31.08.2007 16:38 1.284.255 hthsatds.ini 30.08.2007 17:23 1.284.015 dteplfdb.ini 28.08.2007 16:00 1.249.368 gceujpgv.ini 28.08.2007 16:00 1.255.189 yghinduo.ini 27.08.2007 15:24 465 vivotyom.ini 12.08.2007 11:50 1.214.081 tacfocui.ini 06.08.2007 22:19 311.604 perfh009.dat 06.08.2007 22:19 316.594 perfh007.dat 06.08.2007 22:19 48.156 perfc007.dat 06.08.2007 22:19 39.992 perfc009.dat 06.08.2007 22:19 721.390 PerfStringBackup.INI 30.07.2007 19:20 30.040 wuaucpl.cpl.mui 30.07.2007 19:20 30.040 wuapi.dll.mui 30.07.2007 19:19 1.712.984 wuaueng.dll 30.07.2007 19:19 549.720 wuapi.dll 30.07.2007 19:19 325.976 wucltui.dll 30.07.2007 19:19 216.408 wuaucpl.cpl 30.07.2007 19:19 203.096 wuweb.dll 30.07.2007 19:19 92.504 cdm.dll 30.07.2007 19:19 53.080 wuauclt.exe 30.07.2007 19:19 43.352 wups2.dll 30.07.2007 19:18 34.136 wucltui.dll.mui 30.07.2007 19:18 33.624 wups.dll 30.07.2007 19:18 20.824 wuaueng.dll.mui 29.07.2007 19:01 200.936 FNTCACHE.DAT 29.07.2007 18:44 4.212 zllictbl.dat 19.07.2007 08:56 3.583.488 mshtml.dll 18.07.2007 14:42 60.416 tzchange.exe 12.07.2007 02:22 139.264 javaws.exe 12.07.2007 02:22 69.632 javacpl.cpl 12.07.2007 01:22 135.168 javaw.exe 12.07.2007 01:22 135.168 java.exe 27.06.2007 16:05 823.808 wininet.dll 27.06.2007 16:05 232.960 webcheck.dll 27.06.2007 16:05 1.152.000 urlmon.dll 27.06.2007 16:05 105.984 url.dll 27.06.2007 16:05 671.232 mstime.dll 27.06.2007 16:05 102.400 occache.dll 27.06.2007 16:05 193.024 msrating.dll 27.06.2007 16:05 477.696 mshtmled.dll 27.06.2007 16:05 52.224 msfeedsbs.dll 27.06.2007 16:05 459.264 msfeeds.dll 27.06.2007 16:05 1.824.256 inetcpl.cpl 27.06.2007 16:05 27.648 jsproxy.dll 27.06.2007 16:04 267.776 iertutil.dll 27.06.2007 16:04 6.058.496 ieframe.dll 27.06.2007 16:04 44.544 iernonce.dll 27.06.2007 16:04 384.512 iedkcs32.dll 27.06.2007 16:04 383.488 ieapfltr.dll 27.06.2007 16:04 230.400 ieaksie.dll 27.06.2007 16:04 153.088 ieakeng.dll 27.06.2007 16:04 124.928 advpack.dll 27.06.2007 16:04 132.608 extmgr.dll 27.06.2007 10:27 13.824 ieudinit.exe 27.06.2007 10:27 63.488 ie4uinit.exe 27.06.2007 09:00 161.792 ieakui.dll 26.06.2007 08:08 1.104.896 msxml3.dll 19.06.2007 15:31 282.112 gdi32.dll 11.06.2007 23:51 10.834.944 wmp.dll 17.05.2007 13:28 549.376 oleaut32.dll 16.05.2007 17:11 683.520 inetcomm.dll 16.05.2007 09:41 29.704 uxtuneup.dll 08.05.2007 15:03 1.275.392 msxml4.dll 25.04.2007 16:22 144.896 schannel.dll 24.04.2007 11:32 1.485.696 LegitCheckControl.dll 23.04.2007 02:15 1.044.480 libdivx.dll 23.04.2007 02:15 200.704 ssldivx.dll 18.04.2007 18:13 2.854.400 msi.dll 17.04.2007 11:32 2.455.488 ieapfltr.dat 16.04.2007 17:53 1.058.304 kernel32.dll 22.03.2007 21:05 520.192 ati2sgag.exe 17.03.2007 15:44 293.376 winsrv.dll 15.03.2007 03:58 315.392 ATIDEMGX.dll 15.03.2007 03:57 267.776 ati2dvag.dll 15.03.2007 03:55 307.200 atiiiexx.dll 15.03.2007 03:50 122.880 atipdlxx.dll 15.03.2007 03:50 114.688 Oemdspif.dll 15.03.2007 03:50 26.112 Ati2mdxx.exe 15.03.2007 03:50 42.496 ati2edxx.dll 15.03.2007 03:49 114.688 ati2evxx.dll 15.03.2007 03:48 450.560 ati2evxx.exe 15.03.2007 03:47 53.248 ATIDDC.DLL 15.03.2007 03:40 2.820.544 ati3duag.dll 15.03.2007 03:29 1.315.712 ativvaxx.dll 15.03.2007 03:19 5.402.624 atioglxx.dll 15.03.2007 03:16 258.048 atikvmag.dll 15.03.2007 03:14 17.408 atitvo32.dll 15.03.2007 03:10 356.352 ati2cqag.dll 14.03.2007 20:01 16.832 amcompat.tlb 14.03.2007 20:01 23.392 nscompat.tlb 09.03.2007 13:51 270.336 xpsp3res.dll 09.03.2007 01:02 54.936 vsutil_loc0407.dll 09.03.2007 01:02 18.072 imslsp_install_loc0407.dll 09.03.2007 01:02 22.168 imsinstall_loc0407.dll 09.03.2007 01:02 394.192 vsdatant.sys 09.03.2007 01:01 1.087.216 zpeng24.dll 09.03.2007 01:01 71.408 zlcommdb.dll 09.03.2007 01:01 100.080 vsxml.dll 09.03.2007 01:01 83.696 zlcomm.dll 09.03.2007 01:01 46.832 vswmi.dll 09.03.2007 01:01 472.816 vsutil.dll 09.03.2007 01:01 71.408 vsregexp.dll 09.03.2007 01:01 276.208 vspubapi.dll 09.03.2007 01:01 104.176 vsmonapi.dll 09.03.2007 01:01 157.424 vsinit.dll 09.03.2007 01:01 83.696 vsdata.dll 09.03.2007 01:01 796.312 libeay32_0.9.6l.dll 08.03.2007 17:36 40.960 mf3216.dll 08.03.2007 17:36 579.072 user32.dll 08.03.2007 17:32 1.843.712 win32k.sys 08.03.2007 07:09 1.040.384 ieframe.dll.mui 07.03.2007 00:04 143.676 atiicdxx.dat 28.02.2007 18:02 2.138.624 ntoskrnl.exe 28.02.2007 18:02 2.018.304 ntkrnlpa.exe 16.02.2007 19:04 7.072 atifglpf.xml 05.02.2007 22:18 185.856 upnphost.dll 23.01.2007 21:30 546.304 hhctrl.ocx |
28.09.2007, 13:40 | #6 |
/// TB-Ausbilder | TR/Vundo.Gen - gebca.dll Hi, Hast du versucht gebca.dll im abgesicherten Modus (ohne Killbox) per Hand zu löschen? Hat das auch nicht funktioniert? lg myrtille Geändert von myrtille (28.09.2007 um 14:00 Uhr) |
28.09.2007, 14:11 | #7 |
| TR/Vundo.Gen - gebca.dll PM beantwortet :-) nö - auch manuell lässt sich die dll nicht löschen .... |
28.09.2007, 14:22 | #8 | |
/// TB-Ausbilder | TR/Vundo.Gen - gebca.dll Hi, versuch mal Folgendes um meine Neugier zu befriedigen: Lösche folgende Dateien: Zitat:
und lass danach nochmal Vundofix durchlaufen und poste das Logfile hier. lg myrtille |
28.09.2007, 15:20 | #9 |
| TR/Vundo.Gen - gebca.dll die INI dateien konnten ohne probleme gelöscht werden. dann vundofix: aber wieder nix !! wuuuaaaaaah (*heul*) es gibt eine datei, die immer wieder auftaucht, obwohl ich sie dauernd lösche : acbeg.ini hier das log: VundoFix V6.5.9 Checking Java version... Sun Java not detected Scan started at 16:05:08 28.09.2007 Listing files found while scanning.... C:\windows\system32\acbeg.ini C:\WINDOWS\system32\gebca.dll Beginning removal... Attempting to delete C:\windows\system32\acbeg.ini C:\windows\system32\acbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Performing Repairs to the registry. Done! Beginning removal... Attempting to delete C:\windows\system32\acbeg.ini C:\windows\system32\acbeg.ini Has been deleted! Attempting to delete C:\WINDOWS\system32\gebca.dll C:\WINDOWS\system32\gebca.dll Could not be deleted. Performing Repairs to the registry. Done! |
28.09.2007, 15:59 | #10 |
/// TB-Ausbilder | TR/Vundo.Gen - gebca.dll Gut, ich hatte leider auch nicht viel anderes erwartet. Probiere bitte noch folgendes Tool aus: ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! Poste danach das Log von Combofix und nochmal ein neues filelistlog des system32-ordners der letzten 30 Tage. lg myrtille |
28.09.2007, 16:26 | #11 |
| TR/Vundo.Gen - gebca.dll hui, das sieht schon sehr gut aus - nach dem boot von combofix wurde (bisher) kein virus mehr von antivir gefunden ... das log von filelist: Verzeichnis von C:\WINDOWS\system32 28.09.2007 17:24 55.081 vsconfig.xml 28.09.2007 11:32 4.924 jupdate-1.6.0_02-b06.log 26.09.2007 23:52 249.772 TZLog.log 26.09.2007 23:46 13.646 wpa.dbl 05.09.2007 19:50 17.474.680 MRT.exe combofix log: ComboFix 07-09-21.2 - "Rainer" 2007-09-28 17:17:50.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1680 [GMT 2:00] * Created a new restore point . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Log\2007 Sep 26 - 08_55_50 PM_406.log C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Log\2007 Sep 26 - 08_55_52 PM_921.log C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\rs.dat C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\CustomScan.stg C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\IgnoreList.stg C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\ScanInfo.stg C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\ScanResults.stg C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\SelectedFolders.stg C:\DOKUME~1\Rainer\ANWEND~1\AntiSpywareBot\Settings\Settings.stg C:\WINDOWS\system32\acbeg.ini C:\WINDOWS\system32\components C:\WINDOWS\system32\components\flx0.dll C:\WINDOWS\system32\components\flx1.dll C:\WINDOWS\system32\components\flx2.dll C:\WINDOWS\system32\components\flx3.dll C:\WINDOWS\system32\gebca.dll C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((( Dateien erstellt von 2007-08-28 bis 2007-09-28 )))))))))))))))))))))))))))))) . 2007-09-28 17:16 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-09-28 16:28 <DIR> d-------- C:\Temp\backups 2007-09-28 14:54 <DIR> d-------- C:\Temp\troj_board 2007-09-27 16:07 73,728 --a------ C:\KillBox.exe 2007-09-26 21:42 218,112 --a------ C:\Temp\Pruefung.com 2007-09-26 09:07 116,224 --a------ C:\Temp\VundoFix.exe 2007-09-25 17:26 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\WinRAR 2007-09-25 16:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Napster Shared 2007-09-08 14:31 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\TuneUp Software 2007-09-08 14:30 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll 2007-09-08 14:30 <DIR> d-------- C:\Programme\TuneUp Utilities 2007 2007-09-08 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-09-08 14:30 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software 2007-09-06 20:06 17,264 --a------ C:\WINDOWS\suecmdial.dll 2007-09-06 19:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice 2007-09-06 19:53 <DIR> d-------- C:\Programme\Alice . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-28 15:56 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan 2007-09-25 17:22 --------- d-------- C:\Programme\XPcleanv5 2007-09-25 16:28 --------- d-------- C:\Programme\Napster 2007-09-12 18:17 --------- d-------- C:\DOKUME~1\Rainer\ANWEND~1\Skype 2007-09-08 19:34 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic 2007-09-02 12:06 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink 2007-08-10 17:27 --------- d-------- C:\Programme\DivX 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll 2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll 2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll 2007-07-29 18:52 --------- d-------- C:\Programme\MSXML 4.0 2003-07-17 10:26 448640 --a------ C:\WINDOWS\inf\EL2K_N64.sys 2003-07-17 10:22 147328 --a------ C:\WINDOWS\inf\EL2K_XP.sys 2003-06-03 15:47 147328 --a------ C:\WINDOWS\inf\EL2K_2K.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28] "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 10:42] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-14 22:05] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-08 15:16] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLifeService] "C:\Programme\Logitech\MediaLife\MediaLifeService.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell] C:\Programme\Napster\napster.exe /systray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchIndexer] rundll32.exe "C:\WINDOWS\system32\oltxlgnc.dll",sitypnow [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\atjrmnjo.dll",forkonce [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNMp50.sys S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNSp50.sys S3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\system32\drivers\tbhsd.sys HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2007-09-28 15:15:13 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-28 17:24:33 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-09-28 17:25:17 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-09-28 17:25 . --- E O F --- bin ich jetzt *sauber* ?!?!?!? |
28.09.2007, 22:16 | #12 | |
/// TB-Ausbilder | TR/Vundo.Gen - gebca.dll Noch nicht ganz. Du hast dir scheinbar eine ganz neue Variante eingefangen, daher müssen noch ein paar Dateien entfernt werden:
Lade dir SmitfraudFix -Starte es dann und lass das System durchsuchen. (Option 1) -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans lg myrtille |
29.09.2007, 17:58 | #13 |
| TR/Vundo.Gen - gebca.dll oje, dann gehts weiter ... hier die beiden logs: ComboFix 07-09-21.2 - "Rainer" 2007-09-29 18:54:42.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1613 [GMT 2:00] * Created a new restore point FILE:: C:\WINDOWS\system32\atjrmnjo.dll . ((((((((((((((((((((((( Dateien erstellt von 2007-08-28 bis 2007-09-29 )))))))))))))))))))))))))))))) . 2007-09-28 17:16 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-09-28 16:28 <DIR> d-------- C:\Temp\backups 2007-09-28 14:54 <DIR> d-------- C:\Temp\troj_board 2007-09-27 16:07 73,728 --a------ C:\KillBox.exe 2007-09-26 21:42 218,112 --a------ C:\Temp\Pruefung.com 2007-09-26 09:07 116,224 --a------ C:\Temp\VundoFix.exe 2007-09-25 17:26 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\WinRAR 2007-09-25 16:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Napster Shared 2007-09-08 14:31 <DIR> d-------- C:\DOKUME~1\Rainer\ANWEND~1\TuneUp Software 2007-09-08 14:30 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll 2007-09-08 14:30 <DIR> d-------- C:\Programme\TuneUp Utilities 2007 2007-09-08 14:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2007-09-08 14:30 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software 2007-09-06 20:06 17,264 --a------ C:\WINDOWS\suecmdial.dll 2007-09-06 19:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice 2007-09-06 19:53 <DIR> d-------- C:\Programme\Alice . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-09-28 23:09 --------- d-------- C:\Programme\Napster 2007-09-28 15:56 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan 2007-09-25 17:22 --------- d-------- C:\Programme\XPcleanv5 2007-09-12 18:17 --------- d-------- C:\DOKUME~1\Rainer\ANWEND~1\Skype 2007-09-08 19:34 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic 2007-09-02 12:06 --------- d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DVD Shrink 2007-08-10 17:27 --------- d-------- C:\Programme\DivX 2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll 2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll 2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe 2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll 2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll 2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll 2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll 2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll 2007-07-29 18:52 --------- d-------- C:\Programme\MSXML 4.0 2007-07-28 07:44 45296 --a------ C:\WINDOWS\system32\drivers\ativvpxx.vp 2007-07-28 05:37 8237056 --a------ C:\WINDOWS\system32\atioglx2.dll 2007-07-28 05:31 344064 --a------ C:\WINDOWS\system32\ATIDEMGX.dll 2007-07-28 05:30 269312 --a------ C:\WINDOWS\system32\ati2dvag.dll 2007-07-28 05:30 2371584 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys 2007-07-28 05:24 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll 2007-07-28 05:23 143360 --a------ C:\WINDOWS\system32\atipdlxx.dll 2007-07-28 05:23 122880 --a------ C:\WINDOWS\system32\Oemdspif.dll 2007-07-28 05:22 43520 --a------ C:\WINDOWS\system32\ati2edxx.dll 2007-07-28 05:22 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe 2007-07-28 05:22 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll 2007-07-28 05:21 483328 --a------ C:\WINDOWS\system32\ati2evxx.exe 2007-07-28 05:20 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL 2007-07-28 05:12 3067712 --a------ C:\WINDOWS\system32\ati3duag.dll 2007-07-28 05:06 176128 --a------ C:\WINDOWS\system32\atiok3x2.dll 2007-07-28 05:01 1550208 --a------ C:\WINDOWS\system32\ativvaxx.dll 2007-07-28 04:50 5435392 --a------ C:\WINDOWS\system32\atioglxx.dll 2007-07-28 04:47 266240 --a------ C:\WINDOWS\system32\atikvmag.dll 2007-07-28 04:46 17408 --a------ C:\WINDOWS\system32\atitvo32.dll 2007-07-28 04:45 49152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll 2007-07-28 04:40 450560 --a------ C:\WINDOWS\system32\ati2cqag.dll 2007-07-27 21:05 593920 --------- C:\WINDOWS\system32\ati2sgag.exe 2003-07-17 10:26 448640 --a------ C:\WINDOWS\inf\EL2K_N64.sys 2003-07-17 10:22 147328 --a------ C:\WINDOWS\inf\EL2K_XP.sys 2003-06-03 15:47 147328 --a------ C:\WINDOWS\inf\EL2K_2K.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28] "SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2003-05-30 10:42] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-14 22:05] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-08 15:16] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaLifeService] "C:\Programme\Logitech\MediaLife\MediaLifeService.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NapsterShell] C:\Programme\Napster\napster.exe /systray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs R3 cjusb;REINER SCT cyberJack pinpad/e-com USB;C:\WINDOWS\system32\DRIVERS\cjusb.sys S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNMp50.sys S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\C:\WINDOWS\system32\drivers\PDNSp50.sys S3 tbhsd;Tunebite High-Speed Dubbing;C:\WINDOWS\system32\drivers\tbhsd.sys HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2007-09-28 15:15:13 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-29 18:55:59 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-09-29 18:56:32 C:\ComboFix-quarantined-files.txt ... 2007-09-28 17:25 C:\ComboFix2.txt ... 2007-09-28 17:25 . --- E O F --- und: Scan done at 19:01:16,21, 29.09.2007 Run from C:\Dokumente und Einstellungen\Rainer\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Rainer »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Rainer\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Rainer\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Rustock »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: 3Com Gigabit LOM (3C940) - Paketplaner-Miniport DNS Server Search Order: 192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\..\{A97B49FA-1121-4664-BF55-363E1845E391}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{A97B49FA-1121-4664-BF55-363E1845E391}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{A97B49FA-1121-4664-BF55-363E1845E391}: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
29.09.2007, 18:12 | #14 |
/// TB-Ausbilder | TR/Vundo.Gen - gebca.dll Hi, sieht gut aus! Es handelte sich nur noch um 2-3 zu entfernende Einträge von Vundo, die Dateien waren schon weg. Das Log von Smitfraudfix ist auch sauber. Hast du denn noch Probleme mit dem Rechner? Dann würde ich dich noch bitten noch ein neues HJT-File zu posten um noch ein letztes Mal drüber zu gucken und sicher zu gehen, dass alles seine Richtigkeit hat. lg myrtille |
29.09.2007, 18:19 | #15 |
| TR/Vundo.Gen - gebca.dll ne, läuft alles sauber :-) antivir "meckert" auch nicht mehr ... vielen dank für die hilfe !!! HJT log: Logfile of HijackThis v1.99.1 Scan saved at 19:23:15, on 29.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Temp\Pruefung.com O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O11 - Options group: [INTERNATIONAL] International* O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Themen zu TR/Vundo.Gen - gebca.dll |
abgesicherten modus, adobe, antivir, bho, bild, boot, booten, dateien, explorer, firefox, hijack, hotkey, ignorieren, internet, internet explorer, jusched.exe, log, microsoft, monitor, mozilla, mozilla firefox, programme, software, system, system32, temp, tr/vundo.gen, windows, windows xp |