Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   gebyv.exe (https://www.trojaner-board.de/47763-gebyv-exe.html)

Dyna 05.01.2008 10:00
gebyv.exe
 
Das Teil startet sich jedesmal neu. Bitte um Hilfe. Am Anfang erscheint auch ein kleines Fenster (Titel: "blah" mit keinem Inhalt?!)

Logfile of HijackThis v1.99.1
Scan saved at 09:59:16, on 05.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Virtual TA Client\RccIcon.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient .exe
C:\Programme\Microsoft ActiveSync\WCESCOMM .EXE
C:\Programme\G DATA AntiVirus\AVKTray\AVKTray .exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM .EXE
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier .exe
E:\Tools\stinger.exe
E:\Tools\Process Explorer.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0407/bl7.asp
F3 - REG:win.ini: load=C:\WINDOWS\system32\gebyv.exe
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA AntiVirus\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [RccIcon] C:\Programme\Virtual TA Client\RccIcon
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirus\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM .EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O4 - Global Startup: Lexware professional Datenbankserver starten.lnk = C:\Programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe
O4 - Global Startup: SkyUserDevmode-Update.lnk = C:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .3gp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://reset.dyndns.tv/plugin/h263ctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA99EEED-344D-4E75-8C55-3F78855F049F}: NameServer = 192.168.10.2
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirus\AVK\AVKWCtl.exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MSSQL$DATEV_CL_DE01 - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe" -sDATEV_CL_DE01 (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SQLAgent$DATEV_CL_DE01 - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlagent.EXE" -i DATEV_CL_DE01 (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

undoreal 05.01.2008 20:35
Halli hallo



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:

C:\Programme\Virtual TA Client\RccIcon.exe

C:\WINDOWS\system32\gebyv.exe

E:\Tools\Process Explorer.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Dyna 05.01.2008 23:24
Also RccIcon ist sauber.

gebyv.exe wurde von meinem aktuellen GDATA auf meinem Haupt-PC gleich gelöscht:
http://www.antiviruslab.com/search.php?v1=Trojan-Dropper.Win32.Agent.dgo

Process Explorer ist der von Sysinternals...

undoreal 06.01.2008 13:07
Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
bitte alle Anweisungen genau befolgen.

Wenn die " gebyv.exe " gelöscht wurde ist das nicht so toll. Kannst du die noch aus der Quarantäne kramen? Eine VT Analyse wäre super.

Dyna 06.01.2008 13:21
Code:
Antivirus            Version            letzte aktualisierung            Ergebnis                      AhnLab-V32008.1.5.112008.01.05Dropper/Agent.348160.BAntiVir7.6.0.462008.01.04TR/Drop.Agent.dgo.21Authentium4.93.82008.01.05W32/Virtumonde.OQAvast4.7.1098.02008.01.05Win32:TratBHOAVG7.5.0.5162008.01.05Dropper.Agent.GITBitDefender7.22008.01.06Trojan.Dropper.Vundo.DCAT-QuickHeal9.002008.01.05TrojanDropper.Agent.dgoClamAV0.91.22008.01.06Trojan.Vundo-851DrWeb4.44.0.091702008.01.06Trojan.MulDrop.10006eSafe7.0.15.02008.01.03-eTrust-Vet31.3.54322008.01.04Win32/Trats.AEwido4.02008.01.05Dropper.Agent.dgoFileAdvisor12008.01.06-Fortinet3.14.0.02008.01.06-F-Prot4.4.2.542008.01.05W32/Virtumonde.OQF-Secure6.70.13030.02008.01.05Trojan-Dropper.Win32.Agent.dgoIkarusT3.1.1.152008.01.06Trojan-Dropper.Win32.Agent.dgoKaspersky7.0.0.1252008.01.06Trojan-Dropper.Win32.Agent.dgoMcAfee52002008.01.04-Microsoft1.31092008.01.06Virus:Win32/Trats.CNOD32v227672008.01.06Win32/TrojanDropper.Agent.DGONorman5.80.022008.01.04W32/Vundo.AYPanda9.0.0.42008.01.06Trj/Dropper.ZNPrevx1V22008.01.06-Rising20.25.62.002008.01.06-Sophos4.24.02008.01.06W32/VirtInf-BSunbelt2.2.907.02008.01.05-Symantec102008.01.06W32.Trats!infTheHacker6.2.9.1812008.01.05W32/Zhelatin.genVBA323.12.2.52008.01.02Trojan-Dropper.Win32.Agent.dgoVirusBuster4.3.26:92008.01.05Win32.Trats.GenWebwasher-Gateway6.6.22008.01.04Trojan.Drop.Agent.dgo.21                            weitere Informationen                      File size: 348160 bytesMD5: 9817e187479fa0d59383009eef49a5a6SHA1: 1999d6544a111d897b5fd282ebac16b26106bcbcPEiD: -
omg ich bekomm das nichtmal in ein vernünftiges Format...

http://img341.imageshack.us/img341/994/virusts5.th.jpg

Sunny 08.01.2008 16:49
Crossposting!

gebyv.exe - HijackThis.de Support Board

Dyna 08.01.2008 16:55
Woher soll man denn wissen, dass die Foren irgendwie zusammengehören?

Gibt es irgendwo ein Verbot, dass man seine Frage nur in einem Forum stellen darf?

Sunny 08.01.2008 17:22
Zitat:
Zitat von Dyna (Beitrag 314709)
Woher soll man denn wissen, dass die Foren irgendwie zusammengehören?
Sie gehören nicht zusammen! ;)

Zitat:
Gibt es irgendwo ein Verbot, dass man seine Frage nur in einem Forum stellen darf?

Nein das nicht, aber denk doch mal logisch, in jedem Forum sind freiwillige Helfer, und jeder opfert seine Zeit für dich und analysiert dein System.
Würdest du dir als Helfer da nicht auch "doof" bei vorkommen?!

Dyna 08.01.2008 17:35
Naja ich finds ganz normal, dass man seine Frage an mehrere Personen richtet. Der eine kennt sich hier besser aus der andere dort. Ich habe mir dadurch halt ne schnellere Lösungs des Problems erhofft, weil es relativ wichtig war! Aber Ok... in Zukunft weiß ich, dass dieses "Crossposting" nicht erwünscht ist...


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19