Das Teil startet sich jedesmal neu. Bitte um Hilfe. Am Anfang erscheint auch ein kleines Fenster (Titel: "blah" mit keinem Inhalt?!)

Logfile of HijackThis v1.99.1
Scan saved at 09:59:16, on 05.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Virtual TA Client\RccIcon.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient .exe
C:\Programme\Microsoft ActiveSync\WCESCOMM .EXE
C:\Programme\G DATA AntiVirus\AVKTray\AVKTray .exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM .EXE
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
E:\Tools\stinger.exe
E:\Tools\Process Explorer.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
F3 - REG:win.ini: load=C:\WINDOWS\system32\gebyv.exe
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [RccIcon] C:\Programme\Virtual TA Client\RccIcon
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM .EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Lexware professional Datenbankserver starten.lnk = C:\Programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe
O4 - Global Startup: SkyUserDevmode-Update.lnk = C:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .3gp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://reset.dyndns.tv/plugin/h263ctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA99EEED-344D-4E75-8C55-3F78855F049F}: NameServer = 192.168.10.2
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MSSQL$DATEV_CL_DE01 - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe" -sDATEV_CL_DE01 (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SQLAgent$DATEV_CL_DE01 - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlagent.EXE" -i DATEV_CL_DE01 (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Halli hallo



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Programme\Virtual TA Client\RccIcon.exe

C:\WINDOWS\system32\gebyv.exe

E:\Tools\Process Explorer.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Also RccIcon ist sauber.

gebyv.exe wurde von meinem aktuellen GDATA auf meinem Haupt-PC gleich gelöscht:
http://www.antiviruslab.com/search.php?v1=Trojan-Dropper.Win32.Agent.dgo

Process Explorer ist der von Sysinternals...

Zitat:

* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

bitte alle Anweisungen genau befolgen.

Wenn die " gebyv.exe " gelöscht wurde ist das nicht so toll. Kannst du die noch aus der Quarantäne kramen? Eine VT Analyse wäre super.

Code: Alles auswählenAufklappen

ATTFilter

Antivirus             Version             letzte aktualisierung             Ergebnis                       AhnLab-V32008.1.5.112008.01.05Dropper/Agent.348160.BAntiVir7.6.0.462008.01.04TR/Drop.Agent.dgo.21Authentium4.93.82008.01.05W32/Virtumonde.OQAvast4.7.1098.02008.01.05Win32:TratBHOAVG7.5.0.5162008.01.05Dropper.Agent.GITBitDefender7.22008.01.06Trojan.Dropper.Vundo.DCAT-QuickHeal9.002008.01.05TrojanDropper.Agent.dgoClamAV0.91.22008.01.06Trojan.Vundo-851DrWeb4.44.0.091702008.01.06Trojan.MulDrop.10006eSafe7.0.15.02008.01.03-eTrust-Vet31.3.54322008.01.04Win32/Trats.AEwido4.02008.01.05Dropper.Agent.dgoFileAdvisor12008.01.06-Fortinet3.14.0.02008.01.06-F-Prot4.4.2.542008.01.05W32/Virtumonde.OQF-Secure6.70.13030.02008.01.05Trojan-Dropper.Win32.Agent.dgoIkarusT3.1.1.152008.01.06Trojan-Dropper.Win32.Agent.dgoKaspersky7.0.0.1252008.01.06Trojan-Dropper.Win32.Agent.dgoMcAfee52002008.01.04-Microsoft1.31092008.01.06Virus:Win32/Trats.CNOD32v227672008.01.06Win32/TrojanDropper.Agent.DGONorman5.80.022008.01.04W32/Vundo.AYPanda9.0.0.42008.01.06Trj/Dropper.ZNPrevx1V22008.01.06-Rising20.25.62.002008.01.06-Sophos4.24.02008.01.06W32/VirtInf-BSunbelt2.2.907.02008.01.05-Symantec102008.01.06W32.Trats!infTheHacker6.2.9.1812008.01.05W32/Zhelatin.genVBA323.12.2.52008.01.02Trojan-Dropper.Win32.Agent.dgoVirusBuster4.3.26:92008.01.05Win32.Trats.GenWebwasher-Gateway6.6.22008.01.04Trojan.Drop.Agent.dgo.21                             weitere Informationen                       File size: 348160 bytesMD5: 9817e187479fa0d59383009eef49a5a6SHA1: 1999d6544a111d897b5fd282ebac16b26106bcbcPEiD: -
         

omg ich bekomm das nichtmal in ein vernünftiges Format...

Crossposting!

gebyv.exe - HijackThis.de Support Board