Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: uEXci4uY.exe kommt immer wieder

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.07.2008, 12:36   #1
Eros Thanatos
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Hallo Leute,
seit zwei Tagen hab ich das Problem, dass auf meinem Bildschirm plötzlich der Firefox aufgeht und irgendeine Seite dann zu sehen
ist. Im Taskmanager finde ich dann immer die mir unbekannte exe-Datei "uEXci4uY.exe". Google hat zu dem nichts finden können.
Spybot findet nichts, nur der Ad-aware findet immer einen tracker. Den lass ich dann auch durch ad-aware löschen, nur
am nächsten tag geht das spiel dann wieder von vorne los - firefox startet plötzlich und diese uEXci4uY.exe erscheint wieder
im taskmanager und ad-aware findet auch wieder einen tracker. kann mir jemand sagen, wie ich jetzt weiter vorgehen sollte?

Alt 11.07.2008, 12:59   #2
BataAlexander
> MalwareDB
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Arbeite die Schritte in folgender Reihenfolge ab.

1. Malwarebytes
Lasse Malwarebytes wie beschrieben laufen und poste das Logfile hier
2. HiJackThis Log erstellen
Lasse HijackThis wie beschrieben laufen
3. Logs posten
Poste die folgenden Logs hier

- Malwarebytes
- HiJackthis log (Links editieren)
__________________

__________________

Alt 11.07.2008, 14:54   #3
Eros Thanatos
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Hier das logfile von Malwarebytes:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 938
Windows 5.1.2600 Service Pack 2

15:44:57 11.07.2008
mbam-log-7-11-2008 (15-44-57).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 66524
Scan Dauer: 6 minute(s), 55 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Und hier von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:47:14, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\GIGABYTE\GEST\GEST.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\GIGABYTE\GEST\GSvr.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\uEXci4uY.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programme\vmntoolbar\vmntoolbar.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programme\vmntoolbar\vmntoolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [GEST] "C:\Programme\GIGABYTE\GEST\run.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://M:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - M:\Programme\Ahead Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4883 bytes



Im HijackThis Log ist diese C:\WINDOWS\system32\uEXci4uY.exe auch wieder aufgeführt.
__________________

Alt 11.07.2008, 14:59   #4
BataAlexander
> MalwareDB
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



C:\WINDOWS\system32\uEXci4uY.exe


Dateien Online überprüfen lassen:

* Besuche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\system32\uEXci4uY.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 11.07.2008, 15:08   #5
Eros Thanatos
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Datei uEXci4uY.exe empfangen 2008.07.11 16:07:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 26/33 (78.79%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.11 Win32/NSAnti.suspicious
AntiVir 7.8.0.64 2008.07.11 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.11 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.07.11 Generic10.AOMF
BitDefender 7.2 2008.07.11 Trojan.Generic.332216
CAT-QuickHeal 9.50 2008.07.10 TrojanDownloader.Agent.tym
ClamAV 0.93.1 2008.07.11 Trojan.Downloader-41566
DrWeb 4.44.0.09170 2008.07.11 Trojan.Packed.418
eSafe 7.0.17.0 2008.07.10 Suspicious File
eTrust-Vet 31.6.5947 2008.07.11 Win32/Vxidl!generic
Ewido 4.0 2008.07.11 -
F-Prot 4.4.4.56 2008.07.10 -
F-Secure 7.60.13501.0 2008.07.10 Trojan-Downloader.Win32.Agent.tym
Fortinet 3.14.0.0 2008.07.11 W32/Agent.TYM!tr.dldr
GData 2.0.7306.1023 2008.07.11 Trojan-Downloader.Win32.Agent.tym
Ikarus T3.1.1.26.0 2008.07.11 Trojan.Crypt.ULPM
Kaspersky 7.0.0.125 2008.07.11 Trojan-Downloader.Win32.Agent.tym
McAfee 5336 2008.07.10 New Malware.bl
Microsoft 1.3704 2008.07.11 -
NOD32v2 3262 2008.07.11 probably unknown NewHeur_PE virus
Norman 5.80.02 2008.07.11 W32/Agent.GJML
Panda 9.0.0.4 2008.07.10 Generic Malware
Prevx1 V2 2008.07.11 Malicious Software
Rising 20.52.41.00 2008.07.11 -
Sophos 4.31.0 2008.07.11 Mal/HckPk-A
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.11 Packed.Generic.73
TheHacker 6.2.96.376 2008.07.10 Trojan/Downloader.Agent.tym
TrendMicro 8.700.0.1004 2008.07.11 PAK_Generic.001
VBA32 3.12.6.9 2008.07.11 Trojan-Downloader.Win32.Agent.tym
VirusBuster 4.5.11.0 2008.07.11 -
Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Crypt.ULPM.Gen

weitere Informationen
File size: 35842 bytes
MD5...: 05a53566c258f9b18222c9f910f13d5c
SHA1..: bb64335ea81bc8c227095d3988b8bdd74358ff45
SHA256: e15fdedbd92a87bd5df775a8763feefa0384b3913a30160fcb9fa83f38451864
SHA512: ae4ce1a6411917703e7e0b10de15d72d2c4336a80066cfebee045ec135ba88bf
4b377581c7181801890c1850231385cd73ecc5bdfdb9c78127d11f2a87ed5eb1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4141d9
timedatestamp.....: 0x484e64d2 (Tue Jun 10 11:26:10 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x9000 0x8400 7.98 ad14c907c35ae86aa50e154c0835c2e5
UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> NETAPI32.dll: NetScheduleJobAdd
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: StrChrA
> SHLWAPI.dll: StrDupA
> USER32.dll: wsprintfA
> WININET.dll: InternetOpenA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramte...57E500562AA384


Alt 11.07.2008, 16:02   #6
BataAlexander
> MalwareDB
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Gehe wiefolgt vor

1. Datei löschen
Reboot(Neustarte) im abgesicherten Modus.


Stelle Deinen Rechner wie hier beschrieben ein.
Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\system32\uEXci4uY.exe


Dann starte den Rechner im normalen Modus neu.
2. GMER - Rootkit Detection
* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt



* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link

Gmer Deinstallieren
Starte die Datei C:\WINDOWS\gmer_uninstall.cmd mit einem Doppelklick, starte nach dem ausführen den Rechner neu.
Dann löschen im selben Verzeichnis die Dateien gmer_uninstall.cmd, gmer.ini und gmer.bat.
3. Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.
__________________
--> uEXci4uY.exe kommt immer wieder

Alt 11.07.2008, 16:29   #7
Eros Thanatos
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-11 17:29:07
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT spqq.sys ZwCreateKey [0xBA6A80E0]
SSDT spqq.sys ZwEnumerateKey [0xBA6C6CA2]
SSDT spqq.sys ZwEnumerateValueKey [0xBA6C7030]
SSDT spqq.sys ZwOpenKey [0xBA6A80C0]
SSDT spqq.sys ZwQueryKey [0xBA6C7108]
SSDT spqq.sys ZwQueryValueKey [0xBA6C6F88]
SSDT spqq.sys ZwSetValueKey [0xBA6C719A]

INT 0x62 ? 8A8C8BF8
INT 0x63 ? 8A58EF00
INT 0x73 ? 8A8C8BF8
INT 0x73 ? 8A8C8BF8
INT 0x73 ? 8A859BF8
INT 0x73 ? 8A58EF00
INT 0x73 ? 8A8C8BF8
INT 0x82 ? 8A8C8BF8
INT 0x83 ? 8A58EF00
INT 0x94 ? 8A58EF00
INT 0xB4 ? 8A58EF00
INT 0xB4 ? 8A58EF00
INT 0xB4 ? 8A58EF00
INT 0xB4 ? 8A58EF00

---- Kernel code sections - GMER 1.0.14 ----

? spqq.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B9D5562C 5 Bytes JMP 8A58E4E0
? System32\Drivers\adzf8zmj.SYS Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spqq.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spqq.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spqq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spqq.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spqq.sys

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)
IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\System32\SAMLIB.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.)

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8A8551F8
Device \FileSystem\Udfs \UdfsCdRom 89CC31F8
Device \FileSystem\Udfs \UdfsDisk 89CC31F8
Device \Driver\usbuhci \Device\USBPDO-0 8A4DA500
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A8571F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A8571F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A8571F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A8571F8
Device \Driver\usbuhci \Device\USBPDO-1 8A4DA500
Device \Driver\PCI_PNP6958 \Device\00000045 spqq.sys
Device \Driver\usbuhci \Device\USBPDO-2 8A4DA500
Device \Driver\usbehci \Device\USBPDO-3 8A4DB500
Device \Driver\usbuhci \Device\USBPDO-4 8A4DA500
Device \Driver\usbuhci \Device\USBPDO-5 8A4DA500
Device \Driver\usbuhci \Device\USBPDO-6 8A4DA500
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A8C91F8
Device \Driver\usbehci \Device\USBPDO-7 8A4DB500
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A8C91F8
Device \Driver\Cdrom \Device\CdRom0 8A64B1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A8C91F8
Device \Driver\Cdrom \Device\CdRom1 8A64B1F8
Device \Driver\atapi \Device\Ide\IdePort0 8A8C81F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 8A8C81F8
Device \Driver\atapi \Device\Ide\IdePort1 8A8C81F8
Device \Driver\atapi \Device\Ide\IdePort2 8A8C81F8
Device \Driver\atapi \Device\Ide\IdePort3 8A8C81F8
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-19 8A8C81F8
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e 8A8C81F8
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-24 8A8C81F8
Device \Driver\Cdrom \Device\CdRom2 8A64B1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89D5C1F8
Device \Driver\sptd \Device\723600708 spqq.sys
Device \Driver\NetBT \Device\NetbiosSmb 89D5C1F8
Device \Driver\usbuhci \Device\USBFDO-0 8A4DA500
Device \Driver\NetBT \Device\NetBT_Tcpip_{6F6A615A-DF82-4A46-9C45-493DF5DB69C9} 89D5C1F8
Device \Driver\usbuhci \Device\USBFDO-1 8A4DA500
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89D871F8
Device \Driver\usbuhci \Device\USBFDO-2 8A4DA500
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89D871F8
Device \Driver\usbehci \Device\USBFDO-3 8A4DB500
Device \Driver\usbuhci \Device\USBFDO-4 8A4DA500
Device \Driver\Ftdisk \Device\FtControl 8A8C91F8
Device \Driver\usbuhci \Device\USBFDO-5 8A4DA500
Device \Driver\usbuhci \Device\USBFDO-6 8A4DA500
Device \Driver\usbehci \Device\USBFDO-7 8A4DB500
Device \Driver\adzf8zmj \Device\Scsi\adzf8zmj1 8A574500
Device \Driver\adzf8zmj \Device\Scsi\adzf8zmj1Port5Path0Target0Lun0 8A574500
Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8A8561F8
Device \Driver\JRAID \Device\Scsi\JRAID1 8A8561F8
Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target1Lun0 8A8561F8
Device \FileSystem\Cdfs \Cdfs 89D271F8

---- Processes - GMER 1.0.14 ----

Process C:\WINDOWS\system32\ZSHP1020.EXE (*** hidden *** ) 3476

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 M:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA5 0x4F 0x00 0x31 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x12 0xC5 0xC5 0xA3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA2 0x96 0xE8 0x45 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 M:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA5 0x4F 0x00 0x31 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x12 0xC5 0xC5 0xA3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA2 0x96 0xE8 0x45 ...

---- EOF - GMER 1.0.14 ----

Alt 11.07.2008, 16:38   #8
Eros Thanatos
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Verzeichnis von C:\

11.07.2008 10:37 122 service.log
11.07.2008 10:36 2.145.386.496 pagefile.sys
11.05.2008 15:51 211 boot.ini


Verzeichnis von C:\WINDOWS\system32

11.07.2008 17:31 35.842 uEXci4uY.exe
11.07.2008 10:36 13.646 wpa.dbl
10.07.2008 11:40 29.760 tnHJu1GO.exe
04.06.2008 17:58 444.952 wrap_oal.dll
04.06.2008 17:58 109.080 OpenAL32.dll


Verzeichnis von C:\WINDOWS\Prefetch

11.07.2008 17:31 11.572 FIND.EXE-0EEAD1A7.pf
11.07.2008 17:31 9.490 UEXCI4UY.EXE-0485A20F.pf
11.07.2008 17:31 12.324 CMD.EXE-034B0549.pf
11.07.2008 17:31 19.246 G0CFVO5K.EXE-39937CFB.pf
11.07.2008 17:31 132.590 WINRAR.EXE-1F2395DA.pf
11.07.2008 17:30 70.390 FIREFOX.EXE-28BE8AE1.pf
11.07.2008 17:28 16.840 NOTEPAD.EXE-2F2D61E1.pf
11.07.2008 17:22 74.984 GMER.EXE-3B4DEC64.pf
11.07.2008 17:21 11.922 TASKMGR.EXE-06144C13.pf
11.07.2008 17:18 15.116 VERCLSID.EXE-28F52AD2.pf
11.07.2008 17:00 105.488 IEXPLORE.EXE-360BBB5C.pf
11.07.2008 17:00 14.402 TNHJU1GO.EXE-29B86FA4.pf
11.07.2008 16:57 20.338 WUAUCLT.EXE-1360D60A.pf
11.07.2008 16:57 64.982 RUNDLL32.EXE-3C98A3C8.pf
11.07.2008 15:57 61.614 ACRORD32.EXE-31DC9714.pf
11.07.2008 15:57 64.660 ACRORD32INFO.EXE-3B1053FA.pf
11.07.2008 15:47 56.708 WMIPRVSE.EXE-0D449B4F.pf
11.07.2008 15:47 12.606 HIJACKTHIS.EXE-0EBD9A2B.pf
11.07.2008 15:37 39.420 MBAM.EXE-325FAE38.pf
11.07.2008 15:36 16.050 REGSVR32.EXE-396DEA2C.pf
11.07.2008 15:35 20.290 MBAM-SETUP.TMP-2310D18C.pf
11.07.2008 15:35 14.874 MBAM-SETUP.EXE-38B6DDC4.pf
11.07.2008 15:26 25.048 M48QDSBL.EXE-21C7B44C.pf
11.07.2008 14:30 6.504 ZSHP1020.EXE-0BC96585.pf
11.07.2008 13:36 34.046 WINTV2K.EXE-07353B3A.pf
11.07.2008 13:25 35.376 AD-AWARE.EXE-063A652A.pf
11.07.2008 13:20 25.036 EMEEWXWU.EXE-243A0E3C.pf
11.07.2008 12:45 50.438 ADOBEUPDATER.EXE-285901AC.pf
11.07.2008 11:41 162.660 MPLAYERC.EXE-2DE2585C.pf
11.07.2008 11:20 61.438 MSIMN.EXE-2E3AC8DB.pf
11.07.2008 11:15 12.972 TONPSX84.EXE-3472BAC2.pf
11.07.2008 10:43 23.890 LEECHFTP.EXE-041FF418.pf
11.07.2008 10:40 19.552 TRUECRYPT.EXE-32E9C10B.pf
11.07.2008 01:33 5.260 WSCNTFY.EXE-0B14C27D.pf
10.07.2008 21:11 90.858 VLC.EXE-2EF41CD6.pf
10.07.2008 21:11 30.886 RUNDLL32.EXE-4C0C3AB3.pf
10.07.2008 20:31 72.376 WINWORD.EXE-041FEA28.pf
10.07.2008 16:53 33.876 MSPAINT.EXE-146E0237.pf
10.07.2008 16:53 18.692 SVCHOST.EXE-2D5FBD18.pf
10.07.2008 15:03 357.626 Layout.ini
10.07.2008 14:06 78.172 SPYBOTSD.EXE-05E34E47.pf
10.07.2008 14:05 60.228 SDUPDATE.EXE-196984A2.pf
10.07.2008 14:00 19.444 ENSDP4U3.EXE-0533925E.pf
10.07.2008 13:55 16.100 DEFRAG.EXE-2858C7E2.pf
10.07.2008 13:55 52.294 DFRGNTFS.EXE-38C3807C.pf
10.07.2008 11:55 24.806 VT6Q68Q4.EXE-37BDFDB2.pf
10.07.2008 11:40 15.930 ORZ.EXE-386DA291.pf
09.07.2008 23:37 15.278 RUNDLL32.EXE-4661B368.pf
09.07.2008 23:17 31.258 RUNDLL32.EXE-48BE3BC7.pf
09.07.2008 22:55 21.352 RUNDLL32.EXE-57C8756E.pf
09.07.2008 22:02 49.814 LAUNCHERHL2EP1.EXE-31379F36.pf
09.07.2008 22:02 62.472 HL2.EXE-2241428E.pf
09.07.2008 21:01 71.178 MANAGER08.EXE-035EE7CB.pf
09.07.2008 20:54 17.310 MEGATRAINERXL.EXE-1BA4D716.pf
09.07.2008 18:11 31.520 SETUP_WM.EXE-21CBB822.pf
09.07.2008 18:08 55.368 WMPLAYER.EXE-017735B0.pf
09.07.2008 18:06 16.148 RUNDLL32.EXE-5137C7E3.pf
09.07.2008 18:06 20.148 RUNDLL32.EXE-41FB74E5.pf
09.07.2008 18:06 12.974 RUNDLL32.EXE-6E8D4657.pf
09.07.2008 18:04 17.610 DISTNOTED.EXE-21F80628.pf
09.07.2008 18:04 46.322 APPLEMOBILEDEVICEHELPER.EXE-1E0001FD.pf
09.07.2008 18:04 15.118 IPODSERVICE.EXE-07892C80.pf
09.07.2008 18:04 83.012 ITUNES.EXE-39AF51BF.pf
08.07.2008 23:17 12.402 DUMPREP.EXE-0AF2BF67.pf
08.07.2008 16:52 25.928 MSIEXEC.EXE-330626DC.pf
07.07.2008 20:26 60.602 HL2.EXE-3190FBD6.pf
07.07.2008 20:15 15.840 UNLTRAIN.EXE-15D5D9D2.pf
07.07.2008 12:01 73.034 EXCEL.EXE-32DB6F48.pf
07.07.2008 11:37 40.494 FLASHFXP.EXE-04D7333B.pf
06.07.2008 23:12 21.840 LEECHFTP.EXE-16B5579A.pf
06.07.2008 23:09 45.210 FILEZILLA.EXE-2D0DEBBC.pf
06.07.2008 20:41 33.490 HALF-LIFE 2 EPISODE ONE - DEU-1EE8E86B.pf
06.07.2008 20:37 21.864 RUNDLL32.EXE-54023F1C.pf
05.07.2008 18:25 25.376 RSD.EXE-0BB13F8D.pf
05.07.2008 17:08 30.866 RUNDLL32.EXE-607CBEC2.pf
05.07.2008 17:08 35.968 FLASHSFV.EXE-16F385B5.pf
05.07.2008 15:58 22.268 RUNDLL32.EXE-3C6A5378.pf
05.07.2008 15:12 60.208 EVIEWS5.EXE-0AB7A4D3.pf
05.07.2008 00:42 15.148 RUNDLL32.EXE-68F5740D.pf
04.07.2008 23:05 17.378 RUNDLL32.EXE-51CF1651.pf
04.07.2008 23:02 24.012 DRWTSN32.EXE-01DDCF15.pf
04.07.2008 23:02 31.354 DWWIN.EXE-2C373FB7.pf
04.07.2008 23:01 70.556 WMPLAYER.EXE-017735AB.pf
04.07.2008 22:58 19.478 HAALIMKX.EXE-04BAF316.pf
04.07.2008 22:58 12.322 KEYGEN.EXE-2B7F9EAF.pf
04.07.2008 22:58 18.728 COREAVC_PROFESSIONAL_EDITION--38066205.pf
04.07.2008 22:42 78.402 MEDIAINFO.EXE-138FD58E.pf
04.07.2008 22:42 8.330 QTTASK.EXE-0C419446.pf
04.07.2008 22:41 21.512 RUNDLL32.EXE-63C99FBC.pf
04.07.2008 22:34 21.914 MEDIAINFO_0.7.7.2_GUI_WIN32.E-238BC88D.pf
04.07.2008 22:31 35.282 DAEMON.EXE-0860C9A2.pf
04.07.2008 22:28 34.400 MATROSKADIAG.EXE-1FD3DC21.pf
04.07.2008 22:16 28.998 MPLAYERC6491.EXE-0C8A2BEA.pf
04.07.2008 22:09 16.976 UNINSTALL.EXE-2C2B4AA3.pf
04.07.2008 22:09 40.670 VLC-0.8.6H-WIN32.EXE-3B3FDF4C.pf
04.07.2008 22:07 30.944 RUNDLL32.EXE-451A207B.pf
04.07.2008 22:05 62.062 SHOWTIME.EXE-0182DA6F.pf
04.07.2008 22:05 31.436 RUNDLL32.EXE-6A2360A7.pf
04.07.2008 13:04 52.018 TMFOREVER.EXE-2FDDF5A6.pf
04.07.2008 13:04 41.224 TMFOREVERLAUNCHER.EXE-0FDC7A2D.pf
04.07.2008 12:46 81.238 SPORECREATURECREATOR.EXE-3AEB8555.pf
03.07.2008 00:15 302.980 HELPSVC.EXE-1C192440.pf
01.07.2008 23:35 71.686 NAPSTER.EXE-33F2894D.pf
01.07.2008 11:03 8.284 CURL.EXE-104EB17E.pf


Verzeichnis von C:\WINDOWS

11.07.2008 17:31 558 DFC.INI
11.07.2008 17:22 250 gmer.ini
11.07.2008 17:22 80 gmer_uninstall.cmd
11.07.2008 17:22 884.736 gmer.dll
11.07.2008 16:57 1.320.513 WindowsUpdate.log
11.07.2008 13:00 32.294 SchedLgU.Txt
11.07.2008 11:41 69 NeroDigital.ini
11.07.2008 11:38 54.156 QTFont.qfn
11.07.2008 11:38 1.409 QTFont.for
11.07.2008 10:36 0 0.log
11.07.2008 10:36 16.608 gdrv.sys
11.07.2008 10:36 2.048 bootstat.dat
11.07.2008 01:33 50 wiaservc.log
11.07.2008 01:33 215 wiadebug.log
09.07.2008 18:11 19.041 wmsetup.log
11.06.2008 16:03 358.773 DirectX.log


Verzeichnis von C:\WINDOWS\tasks

11.07.2008 17:01 354 At42.job
11.07.2008 17:00 354 At18.job
11.07.2008 16:19 354 At41.job
11.07.2008 16:00 354 At17.job
11.07.2008 15:00 354 At16.job
11.07.2008 15:00 354 At40.job
11.07.2008 14:00 354 At15.job
11.07.2008 14:00 354 At39.job
11.07.2008 13:00 354 At14.job
11.07.2008 13:00 354 At38.job
11.07.2008 12:00 354 At13.job
11.07.2008 12:00 354 At37.job
11.07.2008 11:00 354 At12.job
11.07.2008 11:00 354 At36.job
11.07.2008 10:36 6 SA.DAT
11.07.2008 01:00 354 At2.job
11.07.2008 01:00 354 At26.job
11.07.2008 00:41 354 At25.job
11.07.2008 00:34 354 At1.job
10.07.2008 23:00 354 At24.job
10.07.2008 23:00 354 At48.job
10.07.2008 22:00 354 At23.job
10.07.2008 22:00 354 At47.job
10.07.2008 21:00 354 At22.job
10.07.2008 21:00 354 At46.job
10.07.2008 20:00 354 At21.job
10.07.2008 20:00 354 At45.job
10.07.2008 19:00 354 At20.job
10.07.2008 19:00 354 At44.job
10.07.2008 18:00 354 At19.job
10.07.2008 18:00 354 At43.job
10.07.2008 11:55 354 At31.job
10.07.2008 11:55 354 At34.job
10.07.2008 11:55 354 At27.job
10.07.2008 11:55 354 At29.job
10.07.2008 11:55 354 At28.job
10.07.2008 11:55 354 At30.job
10.07.2008 11:55 354 At33.job
10.07.2008 11:55 354 At35.job
10.07.2008 11:55 354 At32.job
10.07.2008 11:41 354 At11.job
10.07.2008 11:41 354 At4.job
10.07.2008 11:41 354 At3.job
10.07.2008 11:41 354 At5.job
10.07.2008 11:41 354 At6.job
10.07.2008 11:41 354 At7.job
10.07.2008 11:41 354 At8.job
10.07.2008 11:41 354 At9.job
10.07.2008 11:41 354 At10.job


Verzeichnis von C:\WINDOWS\temp

11.07.2008 16:00 5.402 3dw86C5x.dat
11.07.2008 16:00 5.402 sCVag7sW.dat
11.05.2008 14:43 16.384 Perflib_Perfdata_bd0.dat


Verzeichnis von C:\DOKUME~1\*****\LOKALE~1\Temp

11.07.2008 17:31 128.342 filelist.txt
11.07.2008 13:21 5.066 3dw86C5x.dat
11.07.2008 13:21 5.066 sCVag7sW.dat
11.07.2008 10:37 16.384 Perflib_Perfdata_28c.dat
10.07.2008 12:02 36 0nh53M2i.dat
10.07.2008 11:40 29.760 orz.exe
09.07.2008 18:10 12.818 control.xml
08.07.2008 17:14 58.368 FE3003 Ramsey Reset Test.doc
08.07.2008 16:52 233.284 MSIa671d.LOG
08.07.2008 16:52 84.992 Empirische Wf-Sehschlange-160404-AndresK.doc
04.07.2008 22:01 0 0a232F.tmp
28.06.2008 01:50 49.152 ~DFAA70.tmp

Alt 11.07.2008, 16:48   #9
BataAlexander
> MalwareDB
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Ok, bitte lass Combofix laufen.

ComboFix
  • Download ComboFix von hier oder hier auf Deinen Desktop.
  • Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
    (Auch Guards von Ad-, Spyware Programmen!)
  • Doppelklicke die combofix.exe.
  • Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:
  • Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
  • Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
  • Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
  • Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
  • Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 11.07.2008, 16:58   #10
Eros Thanatos
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Mir macht dieses: "einer von 100 kommt nicht heil durch diesen Prozess" etwas stutzig.

Ich hab jetzt auch mal den ie von 6 auf 7 erneuert, da immer neben diesem uEXci4uY.exe auch der iexplore.exe im task auftrat. Wenn ich uEXci4uY.exe beendet hatte, verschwand auch iexplore.exe.

Alt 11.07.2008, 17:03   #11
BataAlexander
> MalwareDB
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Die Warung ist Ernst zu nehmen, ich selbst habe bislang zwei Systeme gesehen die nach Anwendung von CF nicht mehr liefen.
ich würde es hier aber gerne anwenden, da Du nicht nur diese Infektion hast.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 11.07.2008, 17:07   #12
Eros Thanatos
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



ComboFix 08-07-10.1 - Eros Thanatos 2008-07-11 18:00:05.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-11 bis 2008-07-11 ))))))))))))))))))))))))))))))
.

2008-07-11 17:22 . 2008-07-11 17:22 250 --a------ C:\WINDOWS\gmer.ini
2008-07-11 16:00 . 2008-07-11 16:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-11 16:00 . 2008-07-11 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\VMNTOOLBAR
2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Malwarebytes
2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-11 15:36 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-11 15:36 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 11:38 . 2008-07-11 11:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-11 11:38 . 2008-07-11 11:38 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-10 11:41 . 2008-07-10 11:40 29,760 --a------ C:\WINDOWS\system32\tnHJu1GO.exe
2008-07-04 22:59 . 2008-07-04 22:59 <DIR> d-------- C:\Programme\Haali
2008-07-04 22:58 . 2008-07-04 22:58 <DIR> d-------- C:\Programme\CoreCodec
2008-06-14 17:40 . 2008-06-14 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Smith Micro
2008-06-11 16:04 . 2008-06-11 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 16:00 16,608 ----a-w C:\WINDOWS\gdrv.sys
2008-07-11 15:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HDD Thermometer
2008-07-11 15:41 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\vmntoolbar
2008-07-10 19:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\dvdcss
2008-07-07 09:37 --------- d-----w C:\Programme\FlashFXP
2008-07-06 21:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\FileZilla
2008-07-01 21:35 --------- d-----w C:\Programme\Napster
2008-06-30 16:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-04 22:01 --------- d-----w C:\Programme\EA SPORTS
2008-06-04 16:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters
2008-06-04 15:58 444,952 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-04 15:58 109,080 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-04 15:58 --------- d-----w C:\Programme\OpenAL
2008-05-31 05:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FlashFXP
2008-05-31 04:44 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\SiteClasses
2008-05-31 04:42 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Sites
2008-05-31 04:42 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Dynamic
2008-05-31 04:41 --------- d-----w C:\Programme\vmntoolbar
2008-05-21 15:26 --------- d-----w C:\Programme\NVIDIA Corporation
2008-05-21 15:25 --------- d-----w C:\Programme\NVIDIA nTune Performance Application
2008-05-18 21:44 16,760 ----a-w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-14 16:30 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Tunebite
2008-05-14 16:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\RTPlayer
2008-05-14 15:54 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Roxio
2008-05-14 15:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-05-14 15:11 --------- d-----w C:\Programme\PixiePack Codec Pack
2008-05-14 14:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Napster Shared
2008-05-14 14:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
2008-05-14 10:20 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-11 13:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-05-11 11:56 --------- d-----w C:\Programme\CyberLink
2008-05-11 11:55 505,392 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-05-06 18:13 353,576 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-04-28 13:53 805,400 ----a-r C:\WINDOWS\system32\tmp1AA.tmp
2008-04-28 13:53 805,400 ----a-r C:\WINDOWS\system32\tmp1A9.tmp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"RSD_HDDThermo"="C:\Programme\HDD Thermometer\HDD Thermometer.exe" [2008-04-24 15:17 215040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 08:36 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-08-29 10:55 1966080]
"Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-08-30 17:57 2154496]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2006-01-18 12:48 1480192]
"GEST"="C:\Programme\GIGABYTE\GEST\run.exe" [2007-12-14 11:46 236040]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 07:15 221184]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 12:14 16844800 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 M:\Programme\Adobe 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 13:49 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 11:39 486856 M:\Programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2005-02-17 07:15 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--------- 2007-03-14 21:01 54832 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 18:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2007-03-14 21:01 71216 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
--a------ 2006-05-24 20:31 1372160 C:\Programme\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StyleXPService"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\FileZilla FTP Client\\filezilla.exe"=
"C:\\Programme\\GIGABYTE\\@BIOS\\gwflash.exe"=
"C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"M:\\Programme\\TmNationsForever\\TmForever.exe"=

R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-09-19 21:37]
R2 thdudf;TOSHIBA UDF2.5 Reader File System Driver;C:\WINDOWS\system32\DRIVERS\thdudf.sys [2006-11-11 02:25]
R3 CX88xNoIR;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2003-02-03 21:29]
R3 GEST Service;GEST Service for program management.;C:\Programme\GIGABYTE\GEST\GSvr.exe [2007-12-14 11:46]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys [2003-02-03 21:29]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2003-02-03 21:29]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bf32711-04c4-11dd-99ad-001d7d00a162}]
\Shell\AutoRun\command - K:\JDSecure\Windows\JDSecure31.exe

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-07-10 22:34:01 C:\WINDOWS\Tasks\At1.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 09:41:19 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 09:41:19 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-11 09:00:01 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-11 10:00:01 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-11 11:00:01 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-11 12:00:01 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-11 13:00:01 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-11 14:00:01 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-11 15:00:01 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-11 16:00:01 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 23:00:01 C:\WINDOWS\Tasks\At2.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 17:00:01 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 18:00:01 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 19:00:01 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 20:00:01 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 21:00:01 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 22:41:00 C:\WINDOWS\Tasks\At25.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 23:00:00 C:\WINDOWS\Tasks\At26.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:55:03 C:\WINDOWS\Tasks\At27.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:55:03 C:\WINDOWS\Tasks\At28.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:55:03 C:\WINDOWS\Tasks\At29.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:41:19 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 09:55:03 C:\WINDOWS\Tasks\At30.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:55:03 C:\WINDOWS\Tasks\At31.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:55:03 C:\WINDOWS\Tasks\At32.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:55:03 C:\WINDOWS\Tasks\At33.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:55:03 C:\WINDOWS\Tasks\At34.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:55:03 C:\WINDOWS\Tasks\At35.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-11 09:00:00 C:\WINDOWS\Tasks\At36.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-11 10:00:00 C:\WINDOWS\Tasks\At37.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-11 11:00:00 C:\WINDOWS\Tasks\At38.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-11 12:00:00 C:\WINDOWS\Tasks\At39.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:41:19 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-11 13:00:00 C:\WINDOWS\Tasks\At40.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-11 14:19:38 C:\WINDOWS\Tasks\At41.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-11 15:01:29 C:\WINDOWS\Tasks\At42.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-11 16:00:00 C:\WINDOWS\Tasks\At43.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 17:00:00 C:\WINDOWS\Tasks\At44.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 18:00:00 C:\WINDOWS\Tasks\At45.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 19:00:00 C:\WINDOWS\Tasks\At46.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 20:00:00 C:\WINDOWS\Tasks\At47.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 21:00:00 C:\WINDOWS\Tasks\At48.job"
- C:\WINDOWS\system32\uEXci4uY.exe
"2008-07-10 09:41:19 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 09:41:19 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 09:41:19 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 09:41:19 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
"2008-07-10 09:41:19 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\system32\tnHJu1GO.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-NVIDIA nTune - C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe
MSConfigStartUp-avgnt - M:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
MSConfigStartUp-InCD - M:\Programme\Ahead Nero\Nero 7\InCD\InCD.exe
MSConfigStartUp-SecurDisc - M:\Programme\Ahead Nero\Nero 7\InCD\NBHGui.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 18:00:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
Zeit der Fertigstellung: 2008-07-11 18:01:47
ComboFix-quarantined-files.txt 2008-07-11 16:01:37

9 Verzeichnis(se), 34,214,600,704 Bytes frei
11 Verzeichnis(se), 34,305,486,848 Bytes frei

255 --- E O F --- 2008-04-09 13:16:27

Alt 11.07.2008, 17:10   #13
Eros Thanatos
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09:09, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\GIGABYTE\GEST\GSvr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programme\vmntoolbar\vmntoolbar.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programme\vmntoolbar\vmntoolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [GEST] "C:\Programme\GIGABYTE\GEST\run.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://M:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - M:\Programme\Ahead Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4777 bytes

Alt 11.07.2008, 17:14   #14
Eros Thanatos
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Welche Infektion hat denn mein pc noch?
Mir kommt noch diese exe komisch vor: tnHJu1GO.exe
Leider hilft mir google da nicht weiter, da beide exe-dateien anscheinend noch völlig unbekannt sind.

Geändert von Eros Thanatos (11.07.2008 um 17:27 Uhr)

Alt 11.07.2008, 17:39   #15
BataAlexander
> MalwareDB
 
uEXci4uY.exe kommt immer wieder - Standard

uEXci4uY.exe kommt immer wieder



Ok, machen wir weiter.

1. Datei bei Virustotal hochladen

* Besuche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\system32\tnHJu1GO.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)
2. Combofix - Scripten
1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
KillAll::

File::
C:\WINDOWS\system32\tmp1AA.tmp
C:\WINDOWS\system32\tmp1A9.tmp
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
 C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At25.job
C:\WINDOWS\Tasks\At26.job
C:\WINDOWS\Tasks\At27.job
C:\WINDOWS\Tasks\At28.job
C:\WINDOWS\Tasks\At29.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At30.job
C:\WINDOWS\Tasks\At31.job
C:\WINDOWS\Tasks\At32.job
C:\WINDOWS\Tasks\At33.job
C:\WINDOWS\Tasks\At34.job
C:\WINDOWS\Tasks\At35.job
C:\WINDOWS\Tasks\At36.job
C:\WINDOWS\Tasks\At37.job
C:\WINDOWS\Tasks\At38.job
C:\WINDOWS\Tasks\At39.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At40.job
C:\WINDOWS\Tasks\At41.job
C:\WINDOWS\Tasks\At42.job
C:\WINDOWS\Tasks\At43.job
C:\WINDOWS\Tasks\At44.job
C:\WINDOWS\Tasks\At45.job
C:\WINDOWS\Tasks\At46.job
C:\WINDOWS\system32\uEXci4uY.exe
C:\WINDOWS\Tasks\At47.job
C:\WINDOWS\Tasks\At48.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
C:\WINDOWS\system32\tnHJu1GO.exe
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
3. Berichte posten
- Virustotal Bericht
- Combofix Bericht
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Antwort

Themen zu uEXci4uY.exe kommt immer wieder
ad-aware, bekannte, bildschirm, erschein, erscheint, exe-datei, firefox, google, immer wieder, kommt immer wieder, leute, löschen, nichts, plötzlich, problem, seite, spiel, starte, startet, tagen, taskma, taskmanager, unbekannte, vorgehen, vorne



Ähnliche Themen: uEXci4uY.exe kommt immer wieder


  1. DownloadProdekt kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 03.11.2014 (21)
  2. GVU, Polizei, BKA Trojaner kommt immer und immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (3)
  3. TR/Dropper.gen kommt immer wieder
    Log-Analyse und Auswertung - 27.04.2011 (32)
  4. Es erstellt sich immer ein Ordner und er kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (1)
  5. JS.Redirector.455 kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.11.2009 (1)
  6. JS/Redirector.455 kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 26.10.2009 (3)
  7. Trojaner kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 02.06.2009 (1)
  8. Altnet kommt immer wieder
    Log-Analyse und Auswertung - 28.01.2009 (0)
  9. Trojaner kommt immer wieder...
    Log-Analyse und Auswertung - 24.08.2008 (11)
  10. Datei kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 20.02.2008 (4)
  11. Swizzor DH kommt immer wieder
    Log-Analyse und Auswertung - 11.09.2006 (8)
  12. Swizzor kommt immer wieder
    Log-Analyse und Auswertung - 30.04.2006 (1)
  13. coolwwwsearch kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 03.01.2006 (4)
  14. TR.ZAPCHAST kommt immer wieder !?!?!
    Plagegeister aller Art und deren Bekämpfung - 08.12.2004 (22)
  15. searchcentral.cc kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 23.09.2004 (1)
  16. Startseite kommt immer wieder
    Log-Analyse und Auswertung - 12.08.2004 (2)

Zum Thema uEXci4uY.exe kommt immer wieder - Hallo Leute, seit zwei Tagen hab ich das Problem, dass auf meinem Bildschirm plötzlich der Firefox aufgeht und irgendeine Seite dann zu sehen ist. Im Taskmanager finde ich dann immer - uEXci4uY.exe kommt immer wieder...
Archiv
Du betrachtest: uEXci4uY.exe kommt immer wieder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.