gebcc.dll / syskontroller / Trojaner & Co
 

Hallo ihr Lieben

Ich versuche seit einigen Tagen meinen Rechner zu heilen.
Momentan habe ich per Scan eine gebcc.dll gefunden und nehme an dass ich dadurch von syskontroller-popups genervt werden.
Habe viel im Forum hier herumgelesen aber irgendwie werd ich die .dll nicht los da sie geschützt ist. Abgesicherter Modus half auch nichts.

Nun hätte ich gerne einen professionellen Rat von Euch mit der Bitte um hilfe.
Also wie fange ich an, was müsstet ihr wissen um mir helfen zu können usw.
Bisher habe ich unterschiedliche Virenprogramme laufen lassen - leider kein Erfolg.

Ein anderes Symptom ist, das beide Browser (FF/IE) oft unendlich lange Ladezeiten für Seiten haben bzw. diese gar nicht mehr vollständig laden.

Über Eure Hilfe würde ich mich freuen.
Beste Grüße

Erstellen eines Hijackthis-Logfiles
Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung
Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Beachte bitte: Aktive Links und persönliche Informationen in HJT Log-Files

Hallo und danke für das Bemühen.
Hier das Logfile

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Das sieht nicht gut aus, .......

Folgende Dateien bei VirusTotal hochladen und prüfen lassen:

Der Link steht in meiner Signatur!

Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F3 - REG:win.ini: load=C:\WINDOWS\system32\gebcc.exe
O2 - BHO: (no name) - {14BC8509-236D-452A-99BB-73CB9102BE81} - C:\WINDOWS\system32\gebcc.dll
O2 - BHO: (no name) - {373bc277-a299-4d56-852f-65480f57e1df} - (no file)
O2 - BHO: (no name) - {3AEC3373-C823-4853-97D4-5B5549833BC3} - (no file)
O2 - BHO: (no name) - {46CA12B5-B1B0-459B-B085-7429F3D7496F} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - (no file)
O2 - BHO: {cefcea74-4b21-8949-4004-31e038f79c1e} - {e1c97f83-0e13-4004-9498-12b447aecfec} - C:\WINDOWS\system32\iisxmhym.dll
O4 - HKLM\..\Run: [BMfb7d2637] Rundll32.exe "C:\WINDOWS\system32\pxxtyqyt.dll",s
O4 - HKLM\..\Run: [f84e15ab] rundll32.exe "C:\WINDOWS\system32\rbwvnqyt.dll",b
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - f:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O20 - Winlogon Notify: awtrsts - awtrsts.dll (file missing)
O20 - Winlogon Notify: qoggmqfz - C:\WINDOWS\

klicke:Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Download OTMoveIt2 zum Desktop!
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

im linken Fenster,wo steht "Paste List of Files/Folders to be moved"
Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Download VundoFix zum Desktop
Doppelklick auf VundoFix.exe um das Tool zu starten
Klicke Scan for Vundo
Wenn der scan vorueber ist klicke “Remove Vundo”
Wenn man die Meldung kommt remove ”,klicke Yes
Danach werden alle Desktop-Symbole verschwinden
Dann wird man gefragt,ob der PC neustarten soll,klicke OK
Kopiere den Inhalt des Berichts “C:\vundofix.txt
der jetzt auf dein Desktop steht in diesen Thread

Note:
Es ist moeglich das eine Datei von VundoFix nicht entfernt werden kann
wenn dies der fall ist wird nach neustart des Rechners Vundufix neu starten
und muss die Prozedur des scannens wiederholt werden!
Klicke Scan for Vundo

Und ein log von Hijack This

Hallo, das war ja ein Autrag :)
Habe aber alles erledigt und hier sind die Ergebnisse:

OtMoveIt - Log

C:\WINDOWS\system32\gebcc.exe moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\gebcc.dll
C:\WINDOWS\system32\gebcc.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\gebcc.dll scheduled to be moved on reboot.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\iisxmhym.dll
C:\WINDOWS\system32\iisxmhym.dll NOT unregistered.
C:\WINDOWS\system32\iisxmhym.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\pxxtyqyt.dll
C:\WINDOWS\system32\pxxtyqyt.dll NOT unregistered.
C:\WINDOWS\system32\pxxtyqyt.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\rbwvnqyt.dll
C:\WINDOWS\system32\rbwvnqyt.dll NOT unregistered.
C:\WINDOWS\system32\rbwvnqyt.dll moved successfully.

OTMoveIt2 v1.0.20 log created on 03022008_173324



hijackthis - Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:23:33, on 02.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
F:\Programme\PowerISO\PWRISOVM.EXE
F:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas .exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\Alias\Maya6.5\docs\wrapper.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
F:\Programme\Alias\Maya6.5\docs\jre\bin\java.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack This\hijackthis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F3 - REG:win.ini: load=C:\WINDOWS\system32\gebcc.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {BCDD98A3-7D50-4E66-A927-2593B4C153C4} - C:\WINDOWS\system32\gebcc.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PWRISOVM.EXE] f:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas .exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://***.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B9A3FA3-98DC-48E8-A12F-34BE89937D2E}: NameServer = 134.102.20.20,194.94.24.34
O17 - HKLM\System\CCS\Services\Tcpip\..\{D11BF395-EAB8-4851-90E5-FAB104A135DD}: NameServer = 212.247.152.14 193.12.150.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B9A3FA3-98DC-48E8-A12F-34BE89937D2E}: NameServer = 134.102.20.20
O17 - HKLM\System\CS2\Services\Tcpip\..\{3B9A3FA3-98DC-48E8-A12F-34BE89937D2E}: NameServer = 134.102.20.20
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Event Log Helper (event) - Unknown owner - F:\Programme\xampp\phpMyAdmin\svchost.exe (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - F:\Programme\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Maya 6.5 Documentation Server (maya65docserver) - Unknown owner - F:\Programme\Alias\Maya6.5\docs\wrapper.exe
O23 - Service: Network Manager (netwrk) - Unknown owner - F:\Programme\xampp\htdocs\network.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TCLS-P FTP Server (TCLS-P) - Unknown owner - F:\Programme\xampp\htdocs\svchost.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows.NET Framework (winnet) - Unknown owner - C:\WINDOWS\system32\netsvc.exe (file missing)

--
End of file - 7154 bytes

Was ist nun zu tun?

Beste Grüße und Danke!

Ausversehen verklickt

Starte OTMoveIt nochmal
Und druecke die “CleanUp” Taste
Im naeschten Fenster “Begin cleanup process?” klicke Yes
Im naechsten Fenster “Do you want to reboot?” klicke Yes

Schliesse alle Fenster und starte Hijack This
Klicke:Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F3 - REG:win.ini: load=C:\WINDOWS\system32\gebcc.exe
O2 - BHO: (no name) - {14BC8509-236D-452A-99BB-73CB9102BE81} - C:\WINDOWS\system32\gebcc.dll

klicke:Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Habe ich gemacht, doch der O2 Eintrag ist nach dem Fix checked nach erneutem Scan immernoch da.

O2 - BHO: (no name) - {95174CE1-7F1A-4B59-9415-5C8096D3AD65} - C:\WINDOWS\system32\gebcc.dll

Könntest du bitte die Ergebnisse von Virustotal hier reinstellen? Am wichtigsten wäre mir die von dem 02-Eintrag. mfg roe

ich hoffe Du meintest das hier.

Datei gebcc.dll
Ergebnis: 22/31 (70.97%)

AhnLab-V3 2008.2.29.1 2008.02.29 Win-AppCare/Virtumonde.344576
AntiVir 7.6.0.73 2008.03.02 TR/Vundo.DVD
Authentium 4.93.8 2008.03.01 -
Avast 4.7.1098.0 2008.03.02 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.03.01 Generic9.AKAR
BitDefender 7.2 2008.03.02 Trojan.Vundo.DUH
CAT-QuickHeal 9.50 2008.03.01 AdWare.Virtumonde.dih (Not a Virus)
ClamAV 0.92.1 2008.03.02 Trojan.Vundo-851
DrWeb 4.44.0.09170 2008.03.02 Trojan.Virtumod.257
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5574 2008.02.29 Win32/Vundo.JD
Ewido 4.0 2008.03.02 -
FileAdvisor 1 2008.03.02 -
Fortinet 3.14.0.0 2008.03.02 Adware/VirtuMonde
F-Prot 4.4.2.54 2008.03.01 W32/Virtumonde.G.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.01 Vundo.AL
Ikarus T3.1.1.20 2008.03.02 Trojan.Vundo.DUH
Kaspersky 7.0.0.125 2008.03.02 not-a-virus:AdWare.Win32.Virtumonde.gen
McAfee 5242 2008.02.29 -
Microsoft 1.3301 2008.03.02 Trojan:Win32/Vundo.gen!A
NOD32v2 2913 2008.03.01 Win32/Adware.Virtumonde.FP
Norman 5.80.02 2008.02.29 Vundo.AL
Panda 9.0.0.4 2008.03.02 Spyware/Virtumonde
Rising 20.33.62.00 2008.03.02 -
Sophos 4.27.0 2008.03.02 W32/VirtInf-B
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.03.02 Trojan.Vundo
TheHacker 6.2.92.231 2008.03.02 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.03.02 Adware.Vundo.Gen!Pac.18
Webwasher-Gateway 6.6.2 2008.03.02 Trojan.Vundo.DVD


Datei gebcc.exe
Ergebnis: 27/32 (84.38%)

Datei gebcc.exe empfangen 2008.03.01 17:13:53 (CET)
Status: Beendet

Ergebnis: 27/32 (84.38%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.29.1 2008.02.29 Dropper/Agent.348160.B
AntiVir 7.6.0.73 2008.02.29 TR/Drop.Agent.dgo.21
Authentium 4.93.8 2008.03.01 W32/Virtumonde.OQ
Avast 4.7.1098.0 2008.03.01 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.02.29 Dropper.Agent.GIT
BitDefender 7.2 2008.03.01 Trojan.Dropper.Vundo.D
CAT-QuickHeal 9.50 2008.03.01 Win32.Trojan-Dropper.Agent.dgo
ClamAV 0.92.1 2008.03.01 Trojan.Vundo-851
DrWeb 4.44.0.09170 2008.03.01 Trojan.MulDrop.11190
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5574 2008.02.29 Win32/Trats.A
Ewido 4.0 2008.03.01 Dropper.Agent.dgo
FileAdvisor 1 2008.03.01 -
Fortinet 3.14.0.0 2008.03.01 W32/Trats.B
F-Prot 4.4.2.54 2008.02.29 W32/Virtumonde.OQ
F-Secure 6.70.13260.0 2008.03.01 W32/Vundo.AY
Ikarus T3.1.1.20 2008.03.01 Trojan-Dropper.Win32.Agent.dgo
Kaspersky 7.0.0.125 2008.03.01 Virus.Win32.Trats.d
McAfee 5242 2008.02.29 W32/Trats
Microsoft 1.3301 2008.03.01 Virus:Win32/Trats.C
NOD32v2 2913 2008.03.01 Win32/TrojanDropper.Agent.DGO
Norman 5.80.02 2008.02.29 W32/Vundo.AY
Panda 9.0.0.4 2008.03.01 Trj/Dropper.ZN
Prevx1 V2 2008.03.01 -
Rising 20.33.52.00 2008.03.01 -
Sophos 4.27.0 2008.03.01 W32/VirtInf-B
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.03.01 W32.Trats!inf
TheHacker 6.2.9.229 2008.02.25 W32/Zhelatin.gen
VBA32 3.12.6.2 2008.02.27 Win32.TrojanDropper.Agent.DGO
VirusBuster 4.3.26:9 2008.02.29 Win32.Trats.Gen
Webwasher-Gateway 6.6.2 2008.03.01 Trojan.Drop.Agent.dgo.21