Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
gebcc.dll TR/Vundo.AZ nicht löschbar

gebcc.dll TR/Vundo.AZ nicht löschbar


Plagegeister aller Art und deren Bekämpfung: gebcc.dll TR/Vundo.AZ nicht löschbar

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 2 von 2 1 2
Alt 18.12.2007, 16:25   #16
Tommson
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


link für filelisting
http://www.file-upload.net/download-562701/listing.txt.html

find.bat:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.2
Sprache: German
Virus-Datenbank Datum: 12/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (trace.log)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (found.wav)! Action taken: Keine Aktion vorgenommen.
System found infected with winlink Spyware/Adware (wlsetup.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with holistyc Dialer (C:\WINDOWS.1\icons)! Action taken: Keine Aktion vorgenommen.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/nosavesettings)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS.1\system32\tcpfp.exe infiziert von "Trojan-DDoS.Win32.Agent.an" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\Sonstiges\9999994949\JEAJ\mIRC + Keygen\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\Sonstiges\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Anwendungsdaten\terratec\cinergydvr\trace.log
Offending file found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\sonstiges\porn_tools_aio\porn tools aio\autoplay\http-bugger v 2.2\found.wav
Offending file found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\sonstiges\porn_tools_aio\porn tools aio\autoplay\wlsetup.exe
Offending file found: C:\WINDOWS.1\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\world of warcraft\interface\addons\bigwigs\mc
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\magnet !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS.1\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 52608
Gefundene Viren: 12
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 65
Dauer des Scans bisher: 00:19:20
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 16:20:01,78
Batchende: 16:20:08,53

Alt 18.12.2007, 16:26   #17
Tommson
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:22:45, on 2007-12-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS.1\system32\nvsvc32.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\WINDOWS.1\Explorer.EXE
C:\WINDOWS.1\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\WINDOWS.1\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\WZShutdown\P_zero.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Alice\signup\AliceCnn.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ogame.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: {8a6ef301-257a-3c5a-fb44-010b9ccb5cf1} - {1fc5bcc9-b010-44bf-a5c3-a752103fe6a8} - C:\WINDOWS.1\system32\ggkgrrre.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B499D34E-58EF-4927-AB9F-7AF52B2C4C82} - (no file)
O2 - BHO: (no name) - {F1DFEC5F-69F8-432D-8902-7B13CE1D01BA} - C:\WINDOWS.1\system32\gebcc.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TerraTec Home Cinema\THCDeskBand.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.1\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.1\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.1\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [bxnkuntn] C:\eclvojju.bat
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{74786C83-ADF6-49A7-92C0-95CE83B0275F}: NameServer = 213.191.92.82 213.191.74.11
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS.1\system32\nrecdext.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.1\system32\nvsvc32.exe

--
End of file - 8129 bytes
__________________
Alt 18.12.2007, 17:20   #18
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Zitat:
Datei C:\WINDOWS.1\system32\tcpfp.exe infiziert von "Trojan-DDoS.Win32.Agent.an" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Da ist escan angesprungen. Da sind noch weitere Dateien im gleichen Verzeichnis mit fast identischen Zeitstempeln, daher werte mal diese Dateien bei Virsutotal aus und poste die Ergebnisse inkl. Angaben zu Prüfsummen und Dateigröße:

Code:
ATTFilter
C:\WINDOWS.1\system32\tcpfp.exe
C:\WINDOWS.1\ssleay32.dll
C:\WINDOWS.1\libeay32.dll
C:\WINDOWS.1\wget.exe
C:\WINDOWS.1\winserver.exe
Zitat:
Datei C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\Sonstiges\9999994949\JEAJ\mIRC + Keygen\mirc616.exe//data0001.bin

Offending file found: C:\Dokumente und Einstellungen\Administrator.ZOCKEN-8A00C82C\Desktop\sonstiges\porn_tools_aio\porn tools
Tsss..
Also von Keygens und anderer dubioser/illegaler Software solltest du lieber die Finger lassen, allein schon deswegen wenn du virenfrei leben willst...

Im abgesicherten Modus nochmal diese Einträge mit HJT fixen:

Code:
ATTFilter
O2 - BHO: {8a6ef301-257a-3c5a-fb44-010b9ccb5cf1} - {1fc5bcc9-b010-44bf-a5c3-a752103fe6a8} - C:\WINDOWS.1\system32\ggkgrrre.dll (file missing)
O2 - BHO: (no name) - {B499D34E-58EF-4927-AB9F-7AF52B2C4C82} - (no file)
O2 - BHO: (no name) - {F1DFEC5F-69F8-432D-8902-7B13CE1D01BA} - C:\WINDOWS.1\system32\gebcc.dll (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
Schau dann mal unter services.msc (in Start, Ausführen eingeben) nach, ob du einen derartigen Dienste findest:

Zitat:
O23 - Service: DomainService - Unknown owner - C:\WINDOWS.1\system32\nrecdext.exe (file missing)
Wenn ja, dann notier den den Namen, der dir nach einem Doppelklick darauf unter Dienstname angezeigt wird. Mit HijackThis kannst du nämlich in der Misc Tools Section diesen Dienst entgültig entfernen.
__________________
__________________
Alt 18.12.2007, 18:14   #19
Tommson
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Bei den anderen 4 datein kommt ne fehlermeldung 0byte size recived oder so was

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.19.10 2007.12.18 Win-AppCare/Udpsz.10752
AntiVir 7.6.0.45 2007.12.18 -
Authentium 4.93.8 2007.12.18 -
Avast 4.7.1098.0 2007.12.17 -
AVG 7.5.0.503 2007.12.17 Generic9.XDW
BitDefender 7.2 2007.12.18 -
CAT-QuickHeal 9.00 2007.12.18 -
ClamAV 0.91.2 2007.12.18 -
DrWeb 4.44.0.09170 2007.12.18 -
eSafe 7.0.15.0 2007.12.18 -
eTrust-Vet 31.3.5385 2007.12.18 -
Ewido 4.0 2007.12.18 Not-A-Virus.Exploit.Win32.Auriemma.j
FileAdvisor 1 2007.12.18 -
Fortinet 3.14.0.0 2007.12.18 W32/Agent.AN!dos
F-Prot 4.4.2.54 2007.12.18 -
F-Secure 6.70.13030.0 2007.12.18 Trojan-DDoS.Win32.Agent.an
Ikarus T3.1.1.15 2007.12.18 Trojan-DDoS.Win32.Agent.an
Kaspersky 7.0.0.125 2007.12.18 Trojan-DDoS.Win32.Agent.an
McAfee 5187 2007.12.17 -
Microsoft 1.3109 2007.12.18 -
NOD32v2 2730 2007.12.18 probably a variant of Win32/DDoS.Agent
Norman 5.80.02 2007.12.18 -
Panda 9.0.0.4 2007.12.18 -
Prevx1 V2 2007.12.18 Heuristic: Suspicious File With Bad Parent Associations
Rising 20.23.12.00 2007.12.18 Hack.DDoSer.Win32.Agent.an
Sophos 4.24.0 2007.12.18 Mal/Generic-A
Sunbelt 2.2.907.0 2007.12.18 -
Symantec 10 2007.12.18 -
TheHacker 6.2.9.163 2007.12.18 -
VBA32 3.12.2.5 2007.12.17 Trojan-DDoS.Win32.Agent.an
VirusBuster 4.3.26:9 2007.12.18 -
Webwasher-Gateway 6.6.2 2007.12.18 -
weitere Informationen
File size: 12288 bytes
MD5: 2b785aa4dddde7bd9181d511afad3969
SHA1: 1d719721b567b0441a78d36c37482aa6166c1fce
PEiD: Dev-C++ 4.9.9.2 -> Bloodshed Software
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=44C3E0960079F6193009002C6B1F03002EA8FEB0

Alt 18.12.2007, 18:31   #20
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Dann wieder mit dem Avenger wie gewohnt vorgehen, kopier aber diesen Text hinein:

Code:
ATTFilter
Files to delete:
C:\WINDOWS.1\system32\tcpfp.exe
C:\WINDOWS.1\ssleay32.dll
C:\WINDOWS.1\libeay32.dll
C:\WINDOWS.1\wget.exe
C:\WINDOWS.1\winserver.exe
Poste nach dem Neustart wieder das Avenger-Log und entpacke die Avenger.zip in C:\backup. Die Dateien im Avenger.zip sind die gelöschten als Backup eben. Diese nochmal bei Virustotal auswerten und alle Ergebnisse posten.

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.12.2007, 20:02   #21
Tommson
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Und in dem backup Ordner waren die Dateien nicht nur die erste wieder.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fbiruxrc

*******************

Script file located at: \??\C:\Program Files\pcneetkg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS.1\system32\tcpfp.exe deleted successfully.


File C:\WINDOWS.1\ssleay32.dll not found!
Deletion of file C:\WINDOWS.1\ssleay32.dll failed!

Could not process line:
C:\WINDOWS.1\ssleay32.dll
Status: 0xc0000034



File C:\WINDOWS.1\libeay32.dll not found!
Deletion of file C:\WINDOWS.1\libeay32.dll failed!

Could not process line:
C:\WINDOWS.1\libeay32.dll
Status: 0xc0000034



File C:\WINDOWS.1\wget.exe not found!
Deletion of file C:\WINDOWS.1\wget.exe failed!

Could not process line:
C:\WINDOWS.1\wget.exe
Status: 0xc0000034



File C:\WINDOWS.1\winserver.exe not found!
Deletion of file C:\WINDOWS.1\winserver.exe failed!

Could not process line:
C:\WINDOWS.1\winserver.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Alt 18.12.2007, 20:09   #22
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Das ist ja merkwürdig. Die anderen Dateien wurden im letzten listing.txt noch angezeigt. Mach nochmal bitte ein neues filelist mit der listing.txt und lad es wieder hoch und verlink es hier.

Hattest du schon mal einen Check mit Blacklight gemacht? Wenn nicht, nochmal nachholen und das Log posten. Hast du auch schon combofix ausgeführt?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.12.2007, 13:57   #23
Tommson
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


combo fix geht nicht da steht immer es sei keine zulässige Windows Anwendung.

blacklight hat nichts gefunden

12/19/07 13:54:46 [Info]: BlackLight Engine 1.0.67 initialized
12/19/07 13:54:46 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/19/07 13:54:46 [Note]: 7019 4
12/19/07 13:54:46 [Note]: 7005 0
12/19/07 13:54:56 [Note]: 7006 0
12/19/07 13:54:56 [Note]: 7011 264
12/19/07 13:54:56 [Note]: 7026 0
12/19/07 13:54:56 [Note]: 7026 0
12/19/07 13:54:59 [Note]: FSRAW library version 1.7.1024
12/19/07 14:08:07 [Note]: 7007 0


naja is ja jetzt eigentlich auch egal hab ja bald meinen neuen PC
und das nervende piepen hat aufgehört

hier der link File-Upload.net - Ihr kostenloser File Hoster!
Geändert von Tommson (19.12.2007 um 14:18 Uhr)

Alt 19.12.2007, 21:33   #24
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Zitat:
combo fix geht nicht da steht immer es sei keine zulässige Windows Anwendung.
Tja, da ist der Link (mal wieder) zum combofix kaputt. Nimm den hier...

Zitat:
blacklight hat nichts gefunden
Das ist gut...

Ich seh hier gerad warum die anderen Dateien nicht gelöscht werden konnten...war mein Fehler hab dort nen falschen Pfad im Avenger angegeben.
Zieh den Avenger nochmal durch mit diesem Text:

Code:
ATTFilter
Files to delete:
C:\WINDOWS.1\system32\ssleay32.dll
C:\WINDOWS.1\system32\libeay32.dll
C:\WINDOWS.1\system32\wget.exe
C:\WINDOWS.1\system32\winserver.exe
Wieder nach dem Neustart das Avenger-Log posten. Schau dann mal im Ordner c:\avenger nach dem backup.zip - entpack es mit Winrar oder Winzip und werte die vier oben genannten Dateien bei Virustotal aus - Ergebnisse komplett posten. Wenn du Schweirigkeiten hast, kannst du das backup.zip auch bei file-upload.net hochladen und hier verlinken.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.12.2007, 19:26   #25
Tommson
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


meine jetztige fehlermeldung von combofix:jetziges datum ist...

avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ivuysqam

*******************

Script file located at: \??\C:\bakbrnba.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS.1\system32\ssleay32.dll deleted successfully.
File C:\WINDOWS.1\system32\libeay32.dll deleted successfully.
File C:\WINDOWS.1\system32\wget.exe deleted successfully.
File C:\WINDOWS.1\system32\winserver.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Geändert von Tommson (20.12.2007 um 19:32 Uhr)

Alt 20.12.2007, 19:46   #26
Tommson
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Datei wget.exe empfangen 2007.12.20 19:35:11 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 -
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.20 -
BitDefender 7.2 2007.12.20 -
CAT-QuickHeal 9.00 2007.12.20 -
ClamAV 0.91.2 2007.12.20 -
DrWeb 4.44.0.09170 2007.12.20 -
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.20 -
Fortinet 3.14.0.0 2007.12.20 -
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 -
Ikarus T3.1.1.15 2007.12.20 -
Kaspersky 7.0.0.125 2007.12.20 -
McAfee 5190 2007.12.20 -
Microsoft 1.3109 2007.12.20 -
NOD32v2 2739 2007.12.20 -
Norman 5.80.02 2007.12.20 -
Panda 9.0.0.4 2007.12.20 -
Prevx1 V2 2007.12.20 -
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.20 -
Symantec 10 2007.12.20 -
TheHacker 6.2.9.165 2007.12.19 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.20 -
Webwasher-Gateway 6.6.2 2007.12.20 -

weitere Informationen
File size: 225280 bytes
MD5: 05799900ce6d466b5974fca88c094d39
SHA1: 26d9fb69946cff4466d9d5f0fca902a56fe0d953
PEiD: Armadillo v1.71



Datei ssleay32.dll empfangen 2007.12.20 19:35:42 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 -
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.20 -
BitDefender 7.2 2007.12.20 -
CAT-QuickHeal 9.00 2007.12.20 -
ClamAV 0.91.2 2007.12.20 -
DrWeb 4.44.0.09170 2007.12.20 -
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.20 -
Fortinet 3.14.0.0 2007.12.20 -
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 -
Ikarus T3.1.1.15 2007.12.20 -
Kaspersky 7.0.0.125 2007.12.20 -
McAfee 5190 2007.12.20 -
Microsoft 1.3109 2007.12.20 -
NOD32v2 2739 2007.12.20 -
Norman 5.80.02 2007.12.20 -
Panda 9.0.0.4 2007.12.20 -
Prevx1 V2 2007.12.20 -
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.20 -
Symantec 10 2007.12.20 -
TheHacker 6.2.9.165 2007.12.19 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.20 -
Webwasher-Gateway 6.6.2 2007.12.20 -

weitere Informationen
File size: 159744 bytes
MD5: 2da13d891378c9efefcf576e67cebe1e
SHA1: 7c4c6a4553efd1b119edf39cccc06524c4c7be39
PEiD: Armadillo v1.xx - v2.xx


Datei libeay32.dll empfangen 2007.12.20 19:36:25 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 -
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.20 -
BitDefender 7.2 2007.12.20 -
CAT-QuickHeal 9.00 2007.12.20 -
ClamAV 0.91.2 2007.12.20 -
DrWeb 4.44.0.09170 2007.12.20 -
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.20 -
Fortinet 3.14.0.0 2007.12.20 -
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 -
Ikarus T3.1.1.15 2007.12.20 -
Kaspersky 7.0.0.125 2007.12.20 -
McAfee 5190 2007.12.20 -
Microsoft 1.3109 2007.12.20 -
NOD32v2 2739 2007.12.20 -
Norman 5.80.02 2007.12.20 -
Panda 9.0.0.4 2007.12.20 -
Prevx1 V2 2007.12.20 -
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.20 -
Symantec 10 2007.12.20 -
TheHacker 6.2.9.165 2007.12.19 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.20 -
Webwasher-Gateway 6.6.2 2007.12.20 -

weitere Informationen
File size: 876544 bytes
MD5: 200fc220383fd6bd4125192621df55f3
SHA1: 3f1e73c0bd0e5fb1e3d26d2e7e4066c57eea78eb
PEiD: Armadillo v1.xx - v2.xx


Datei winserver.exe empfangen 2007.12.20 19:42:51 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 -
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.20 -
BitDefender 7.2 2007.12.20 -
CAT-QuickHeal 9.00 2007.12.20 Trojan.Autoit.bd
ClamAV 0.91.2 2007.12.20 -
DrWeb 4.44.0.09170 2007.12.20 -
eSafe 7.0.15.0 2007.12.20 suspicious Trojan/Worm
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.20 -
Fortinet 3.14.0.0 2007.12.20 -
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 -
Ikarus T3.1.1.15 2007.12.20 Worm.Win32.AutoIt.d
Kaspersky 7.0.0.125 2007.12.20 -
McAfee 5190 2007.12.20 -
Microsoft 1.3109 2007.12.20 -
NOD32v2 2739 2007.12.20 -
Norman 5.80.02 2007.12.20 -
Panda 9.0.0.4 2007.12.20 -
Prevx1 V2 2007.12.20 SystemPoser:Trojan-a
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.20 -
Symantec 10 2007.12.20 -
TheHacker 6.2.9.165 2007.12.19 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.20 -
Webwasher-Gateway 6.6.2 2007.12.20 -

weitere Informationen
File size: 230901 bytes
MD5: bedcbc8f803edce63fe0fcb9f428ebb7
SHA1: d0c7a9b1029d8016c07c409d5353419d136202a8
PEiD: -
packers: UPX
packers: PE_Patch.UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4FBBB53EF50DB24B857A037EA9616600C0D5F8B1

Alt 21.12.2007, 00:47   #27
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Hm..die winserver.exe scheint rel. unbekannte Malware zu sein und dazu ein Trojan-Downloader. Da weiß man nie genau was das Ding nachlädt. Wenn du auf Nummer sicher gehen willst, solltest du das System neu aufsetzen.
Auch wenn die Bereinigung hier schon ziemlich gründlich war, gibts leider keine Garantie.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 21.12.2007, 11:08   #28
Tommson
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Macht nichts hab ja in 3 Tagen meinen neuen PC aber trozdem vielen Dank für die hilfe

Alt 21.12.2007, 12:47   #29
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gebcc.dll TR/Vundo.AZ nicht löschbar - Standard

gebcc.dll TR/Vundo.AZ nicht löschbar


Zitat:
Zitat von Tommson Beitrag anzeigen
Macht nichts hab ja in 3 Tagen meinen neuen PC aber trozdem vielen Dank für die hilfe
Hm stimmt...wie schnell mal wieder 12 Tage rumgehen...da wär das Neuaufsetzen gleich viel schneller und besser gewesen.

Nur nochmal so als Hinweis. Wenn du den jetzigen PC verschenkst/verkaufst, solltest du die Festplatte darin wipen, sodass keine Daten mehr wiederhergestellt werden können. Geht z.B. mit DBAN.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort
Seite 2 von 2 1 2

Themen zu gebcc.dll TR/Vundo.AZ nicht löschbar
0 bytes, ad-aware, add-on, adobe, antivir, avira, bho, down, download, explorer, fehlermeldung, google, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, löschen, nvidia, problem, programme, remote control, rundll, s-1-5-18, software, system, trend micro, virus, windows, windows xp


« Trojaner öffnen, möglich? | Bitte um Hilfe. PC ist wahrscheinlich infiziert »


Ähnliche Themen: gebcc.dll TR/Vundo.AZ nicht löschbar


  1. exe Datei heruntergeladen, nicht aufgestarten, nicht löschbar
    Plagegeister aller Art und deren Bekämpfung - 04.12.2013 (1)
  2. Programme nicht löschbar - Delta Search evtl. nicht sicher entfernt.
    Plagegeister aller Art und deren Bekämpfung - 26.05.2013 (17)
  3. Ask-Suche nicht löschbar+Windows Defender funktioniert nicht
    Plagegeister aller Art und deren Bekämpfung - 22.03.2013 (1)
  4. Virtumonde.sci nicht löschbar! selbst nach Neustart nicht
    Log-Analyse und Auswertung - 29.01.2009 (1)
  5. Malware nicht löschbar!
    Mülltonne - 21.10.2008 (0)
  6. Vundo.Gen Datei nicht löschbar
    Mülltonne - 08.03.2008 (0)
  7. gebcc.dll / syskontroller / Trojaner & Co
    Plagegeister aller Art und deren Bekämpfung - 02.03.2008 (10)
  8. gebcc.dll Trojanisches Pferd
    Plagegeister aller Art und deren Bekämpfung - 28.01.2008 (5)
  9. TR/Vundo.Gen nicht löschbar
    Log-Analyse und Auswertung - 02.01.2008 (30)
  10. Trojaner, Vundo, Fotomoto teilweise nicht löschbar!
    Plagegeister aller Art und deren Bekämpfung - 07.12.2007 (0)
  11. Virus TR/Vundo.Gen C:\WINDOWS\system32\vstr.dll nicht löschbar??
    Log-Analyse und Auswertung - 08.10.2007 (2)
  12. Hartnäckiger Trojaner "Vundo" NICHT löschbar bzw. entfernbar!
    Plagegeister aller Art und deren Bekämpfung - 04.10.2007 (1)
  13. TR/Vundo.Gen nicht löschbar, bitte um hilfe
    Log-Analyse und Auswertung - 30.08.2007 (16)
  14. Was ist~DF5E74.tmp? nicht löschbar!!!
    Plagegeister aller Art und deren Bekämpfung - 05.04.2007 (6)
  15. Tr/Vundo.gen nicht löschbar
    Mülltonne - 17.10.2006 (1)
  16. TR/PSW.PdPi.CT.1.D nicht löschbar
    Mülltonne - 25.07.2006 (1)
  17. Backdoor nicht löschbar!
    Plagegeister aller Art und deren Bekämpfung - 18.03.2003 (25)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema gebcc.dll TR/Vundo.AZ nicht löschbar - link für filelisting http://www.file-upload.net/download-562701/listing.txt.html find.bat: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.6.2 Sprache: German Virus-Datenbank Datum: 12/12/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object - gebcc.dll TR/Vundo.AZ nicht löschbar...
Archiv
Du betrachtest: gebcc.dll TR/Vundo.AZ nicht löschbar auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131