win**.tmp/gebabyy.dll Problem

#1 Hallo liebe Leute, dachte ja, mir würd das nicht mehr passieren, hab mir aber trotzdem was gefangen :> da die volltext-suche im moment deaktiviert ist, versuche ich es über ein neues thread, mit hijackthis-logfile.

diese "gebabyy.dll" in meinem logfile (s.u., oder auch hier) gehört da natürlich nicht hin, fixen lässt sich das problem mit hijackthis aber nicht (taucht immer wieder neu auf).

ein anderes problem ist da nicht direkt zu finden, hängt aber wahrscheinlich mit dem oben zusammen. und zwar werden im windows\temp ordner immer neue win**.tmp dateien erstellt, die dann versuchen, dateien aus dem internet herunterzuladen (von simone1.download-services.com).

spybot und anti-vir sind natürlich schon benutzt, konnten das problem aber nicht beheben. ich hoffe, jemand von euch weiß rat.

vielen dank für jede hilfe im voraus!

-vio



Hijackthis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:19:36, on 14.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\Programme\Creative\Surround Mixer\CTSysVol.exe
C:\WINDOWS\StartupMonitor.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Labtec\Keyboard\V5.1\kbdap32a.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
D:\Programme\SpeedFan\speedfan.exe
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\regedit.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
D:\Programme\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\gebabyy.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Logitech SetPoint] D:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - HKLM\..\Run: [OFFICEKB] D:\Programme\Labtec\Keyboard\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: speedfan.exe.lnk = D:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF244CE-86B9-44EA-ABD9-74FD50328A94}: NameServer = 134.99.128.2 134.99.128.5
O20 - Winlogon Notify: gebabyy - C:\WINDOWS\SYSTEM32\gebabyy.dll
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 vielen dank für die hilfe sabina, das problem hat sich aber zum glück bereits gelöst

gruß,

-vio

#4 da kann ich mir nicht vorstellen, denn ich sehe die viren von hier im Log vom HijackThis
(allerdings weiss ich nicht, was du inzwischen alles gemacht hast.....)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hatte gleichzeitig auch im hijackthis.de forum gepostet, nach den anweisungen da sieht es folgendermaßen aus:

keine win**.tmp dateien werden mehr erstellt, und kein programm versucht mehr, dateien aus dem internet herunterzuladen. die gebabyy.dll ist auch gelöscht, scheint alles wieder sauber zu sein


entschuldige, wenn du dir umsonst mühe gemacht hast, und vielen dank für die hilfsbereitschaft (die bestimmt auch zum ziel geführt hätte)!

gruß,

-vio


btw, hier mein aktuelles hijackthis-logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:33:26, on 16.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\Programme\Creative\Surround Mixer\CTSysVol.exe
C:\WINDOWS\StartupMonitor.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Labtec\Keyboard\V5.1\kbdap32a.exe
D:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
D:\Programme\SpeedFan\speedfan.exe
D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Outlook Express\msimn.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [Logitech SetPoint] D:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - HKLM\..\Run: [OFFICEKB] D:\Programme\Labtec\Keyboard\V5.1\kbdap32a.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: speedfan.exe.lnk = D:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5CF244CE-86B9-44EA-ABD9-74FD50328A94}: NameServer = 134.99.128.2 134.99.128.5
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe