Gebayya.dll mit TR/Drop.Agent.JC infiziert

#1 Hallo erstmal,

Ich bekomme seit kurzem ständig von meinem AV eine Meldung,
dass die gebayya.dll mit dem Virus TR/Drop.Agent.JC infiziert ist.

Löschen kann ich die Datei nicht (auch nicht im Abgesichertem Modus)
ich weis also nicht ob die Datei vom System gebraucht wird, über goggle fand ich nix lesbares.

Als ich sie mit Unlocker freigeben wollte, wurden die Explorer.exe (eh klar)
und die Winlogon.exe als darauf zugreifende Dateien angzeigt,
wobei wenn ich winlogon freigeben würde, mein PC immer neu bootet.

Habe jetzt mal mit HJT, Combofix und Datfind eine Log erstellt.


ComboFix 07-11-19.3 - Mikel 2007-11-25 13:12:43.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.787 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mikel\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-10-25 bis 2007-11-25 ))))))))))))))))))))))))))))))
.

2007-11-25 12:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-25 12:05 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2007-11-25 12:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-25 12:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-25 12:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-25 12:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-25 12:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-25 11:44 457,728 --a------ C:\WINDOWS\system32\ipnathlp.dll
2007-11-25 11:44 442,880 --a--c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-11-25 11:44 97,280 --a------ C:\WINDOWS\system32\txflog.dll
2007-11-24 17:34 <DIR> d--h-c--- C:\WINDOWS\$xpsp1hfm$
2007-11-24 17:34 221,696 --a------ C:\WINDOWS\system32\srrstr.dll
2007-11-24 17:34 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2007-11-17 19:17 <DIR> d-------- C:\Programme\AviSynth 2.5
2007-11-17 19:17 394,240 --a------ C:\WINDOWS\system32\Smab.dll
2007-11-17 19:17 318,976 --a------ C:\WINDOWS\system32\avisynth.dll
2007-11-17 19:17 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2007-11-14 18:45 <DIR> d-------- C:\Dokumente und Einstellungen\Mikel\Anwendungsdaten\Dev-Cpp
2007-11-14 18:16 <DIR> d-------- C:\WINDOWS\system32\bits
2007-11-14 18:11 360,448 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2007-11-14 18:11 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2007-11-14 18:11 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2007-11-14 18:11 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2007-11-14 18:11 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2007-11-14 17:55 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-11-14 17:55 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-11-14 17:55 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2007-11-14 17:55 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-11-14 17:55 186,648 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-11-14 17:55 169,752 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-11-14 17:55 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-11-05 20:08 <DIR> d-------- C:\Programme\LCP
2007-11-05 20:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-03 15:41 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2007-11-03 15:25 <DIR> d-------- C:\Dokumente und Einstellungen\Mikel\Anwendungsdaten\Roxio
2007-11-03 15:21 <DIR> d-------- C:\Dokumente und Einstellungen\Mikel\Anwendungsdaten\Joost
2007-11-03 15:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-25 11:14 --------- d-----w C:\Programme\RegCleaner
2007-11-24 20:02 --------- d-----w C:\Programme\Napster
2007-11-24 19:59 --------- d-----w C:\Dokumente und Einstellungen\Mikel\Anwendungsdaten\OpenOffice.org2
2007-11-24 18:05 --------- d-----w C:\Programme\FlashGet
2007-11-14 17:21 --------- d-----w C:\Programme\Elcomsoft
2007-11-14 16:52 36,352 ------w C:\WINDOWS\system32\gebayya.dll
2007-11-03 13:59 --------- d-----w C:\Dokumente und Einstellungen\Mikel\Anwendungsdaten\Comodo
2007-11-03 13:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2007-11-03 13:58 --------- d-----w C:\Dokumente und Einstellungen\Mikel\Anwendungsdaten\uTorrent
2007-11-03 13:56 --------- d-----w C:\Programme\Notepad++
2007-11-03 13:56 --------- d-----w C:\Dokumente und Einstellungen\Mikel\Anwendungsdaten\Notepad++
2007-11-03 13:53 --------- d-----w C:\Programme\CDBurnerXP Pro 3
2007-11-03 13:52 --------- d-----w C:\Programme\SlySoft
2007-11-03 13:52 --------- d-----w C:\Programme\PDFCreator
2007-11-03 13:51 --------- d-----w C:\Programme\OpenOffice.org 2.3
2007-11-03 13:50 --------- d-----w C:\Programme\uTorrent
2007-11-03 13:49 --------- d-----w C:\Programme\TeamViewer3
2007-11-03 13:49 --------- d-----w C:\Dokumente und Einstellungen\Mikel\Anwendungsdaten\TeamViewer
2007-11-03 13:48 --------- d-----w C:\Programme\Shutdown4U
2007-11-03 13:48 --------- d-----w C:\Programme\Java
2007-11-03 13:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-11-03 13:47 --------- d-----w C:\Programme\Google
2007-11-03 13:46 --------- d-----w C:\Programme\Zattoo
2007-11-03 13:46 --------- d-----w C:\Programme\7-Zip
2007-11-03 13:44 --------- d-----w C:\Programme\No23 Recorder
2007-11-03 13:44 --------- d-----w C:\Programme\foobar2000
2007-11-03 13:44 --------- d-----w C:\Programme\eRightSoft
2007-11-03 13:43 --------- d-----w C:\Programme\IrfanView
2007-11-03 13:43 --------- d-----w C:\Programme\GIMP-2.0
2007-11-03 13:42 --------- d-----w C:\Programme\K-Lite Codec Pack
2007-11-03 13:41 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-03 13:41 --------- d-----w C:\Programme\VideoLAN
2007-11-03 13:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Napster Shared
2007-11-03 13:41 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-11-03 13:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
2007-11-03 13:40 --------- d-----w C:\Programme\Real Alternative
2007-11-03 13:40 --------- d-----w C:\Programme\QuickTime Alternative
2007-11-03 13:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-11-03 13:39 --------- d-----w C:\Programme\CCleaner
2007-11-03 13:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-03 13:37 --------- d-----w C:\Programme\Opera
2007-11-03 13:36 --------- d-----w C:\Programme\Trend Micro
2007-11-03 13:35 --------- d-----w C:\Programme\Comodo
2007-11-03 13:35 --------- d-----w C:\Programme\Avira
2007-11-03 13:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-03 12:57 --------- d-----w C:\Programme\microsoft frontpage
2007-11-03 12:56 --------- d-----w C:\Programme\Online-Dienste
2007-11-03 12:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-11-03 12:54 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-11-03 12:48 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-11-03 12:48 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-10-22 02:39 267,272 ----a-w C:\WINDOWS\system32\xactengine2_10.dll
2007-10-22 02:37 66,056 ----a-w C:\WINDOWS\system32\dxdllreg.exe
2007-10-22 02:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll
2007-10-12 14:14 3,734,536 ----a-w C:\WINDOWS\system32\d3dx9_36.dll
2007-10-12 14:14 1,374,232 ----a-w C:\WINDOWS\system32\D3DCompiler_36.dll
2007-10-02 08:56 444,776 ----a-w C:\WINDOWS\system32\d3dx10_36.dll
2007-09-28 17:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-09-28 17:05 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-09-28 17:05 739,840 ----a-w C:\WINDOWS\system32\divx.dll
2007-09-04 17:56 164,352 ----a-w C:\WINDOWS\system32\unrar.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}]
2007-11-14 17:52 36352 --------- C:\WINDOWS\system32\gebayya.dll

[hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{BBB05D9E-0297-404D-A6BF-D8F2876B84A6}"= C:\WINDOWS\system32\gebayya.dll [2007-11-14 17:52 36352]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebayya]
gebayya.dll 2007-11-14 17:52 36352 C:\WINDOWS\system32\gebayya.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-25 13:13:29
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-25 13:13:47
.
--- E O F ---


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:09, on 25.11.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Trend Micro\HijackThis\HJT.exe

O2 - BHO: (no name) - {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} - C:\WINDOWS\system32\gebayya.dll
O20 - Winlogon Notify: gebayya - C:\WINDOWS\SYSTEM32\gebayya.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe

--
End of file - 1340 bytes



.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D021-8FAE

Verzeichnis von C:\WINDOWS\system32

24.11.2007 17:29 2.184 wpa.dbl
14.11.2007 17:52 36.352 gebayya.dll
03.11.2007 15:21 664 d3d9caps.dat
03.11.2007 14:59 99.048 FNTCACHE.DAT
03.11.2007 14:48 5.686 jupdate-1.6.0_03-b05.log
03.11.2007 14:01 40.128 perfc009.dat
03.11.2007 14:01 311.740 perfh009.dat
03.11.2007 14:01 48.354 perfc007.dat
03.11.2007 14:01 316.924 perfh007.dat
03.11.2007 14:01 723.744 PerfStringBackup.INI
03.11.2007 14:00 25.065 wmpscheme.xml
03.11.2007 13:59 261 $winnt$.inf
03.11.2007 13:57 2.951 CONFIG.NT
03.11.2007 13:57 23.392 nscompat.tlb
03.11.2007 13:57 16.832 amcompat.tlb
03.11.2007 13:56 488 logonui.exe.manifest
03.11.2007 13:56 488 WindowsLogon.manifest
03.11.2007 13:56 749 ncpa.cpl.manifest
03.11.2007 13:56 749 cdplayer.exe.manifest
03.11.2007 13:56 749 nwc.cpl.manifest
03.11.2007 13:56 749 wuaucpl.cpl.manifest
03.11.2007 13:56 749 sapi.cpl.manifest
03.11.2007 13:54 21.740 emptyregdb.dat
03.11.2007 13:51 0 h323log.txt
02.11.2007 00:12 18.238.072 MRT.exe
22.10.2007 03:39 267.272 xactengine2_10.dll
22.10.2007 03:37 66.056 dxdllreg.exe
22.10.2007 03:37 17.928 X3DAudio1_2.dll
12.10.2007 15:14 3.734.536 d3dx9_36.dll
12.10.2007 15:14 1.374.232 D3DCompiler_36.dll
03.10.2007 17:03 414 lame_acm.xml
02.10.2007 09:56 444.776 d3dx10_36.dll
28.09.2007 18:07 3.596.288 qt-dx331.dll
28.09.2007 18:05 81.920 dpl100.dll
28.09.2007 18:05 739.840 divx.dll
24.09.2007 23:31 69.632 javacpl.cpl
24.09.2007 23:31 139.264 javaws.exe
24.09.2007 22:30 135.168 javaw.exe
24.09.2007 22:30 135.168 java.exe
21.09.2007 02:52 118.784 ac3acm.acm
04.09.2007 18:56 164.352 unrar.dll

#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {BBB05D9E-0297-404D-A6BF-D8F2876B84A6} - C:\WINDOWS\system32\gebayya.dll
O20 - Winlogon Notify: gebayya - C:\WINDOWS\SYSTEM32\gebayya.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

OTMoveIt.exe
Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\system32\gebayya.dll

Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#3 Hab ich gemacht.

Hat anscheinend nicht funktioniert.

Hier die Logfile

LoadLibrary failed for C:\WINDOWS\system32\gebayya.dll
C:\WINDOWS\system32\gebayya.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\gebayya.dll scheduled to be moved on reboot.

Created on 11.25.2007 14:14:47

MfG Prototyp

#4 hast du auch neu gestartet?
__________
MfG Argus

#5 Yep,
die Moveit.exe hat mich gefragt ob ich neustarten will,
hab ich dann auch gemacht.

#6 cfscript.txt

1.
Den folgenden blauen Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\gebayya.dll

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix


__________
MfG Argus

#7 Hab ich gemacht.

allerdings hat das programm nach einiger Zeit gesagt, der befehl SED ist nicht bekannt und konnte nicht ausgeführt werden.

Neustart habe ich dann Manuell ausgeführt.

Er hat mir aber einen Zip Ordner (Catch me) auf dem Desktop erstellt.

Hier noch der neue Log:

LoadLibrary failed for C:\WINDOWS\system32\gebayya.dll
C:\WINDOWS\system32\gebayya.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\gebayya.dll scheduled to be moved on reboot.

Created on 11.25.2007 14:14:47

#8 Hast du jetzt cfscript.txt durchgefuehrt? oder noch nicht
__________
MfG Argus

#9 Habs jetzt nochmal versucht, im abgesicherten modus.

Die Datei Gebayya.dll ist jetzt in einem Zipordner auf dem Desktop
und nicht mehr im System32 ordner.

Virusmeldungen kommen auch keine mehr. ich glau jetzt ists geschafft.

Hier noch der log

LoadLibrary failed for C:\WINDOWS\system32\gebayya.dll
C:\WINDOWS\system32\gebayya.dll NOT unregistered.
File move failed. C:\WINDOWS\system32\gebayya.dll scheduled to be moved on reboot.

Created on 11.25.2007 14:38:49

#10 Entferne auf C:\ _OTMoveIt\ -->Papierkorb leeren

Zipordner loeschen und Papierkorb leeren

Dein Rechner braucht dringend updates
Koennte eine Hilfe sein http://secunia.com/software_inspector/

Systemwiederherstellung
Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>>Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
__________
MfG Argus