Hallo Leute,
seit zwei Tagen hab ich das Problem, dass auf meinem Bildschirm plötzlich der Firefox aufgeht und irgendeine Seite dann zu sehen
ist. Im Taskmanager finde ich dann immer die mir unbekannte exe-Datei "uEXci4uY.exe". Google hat zu dem nichts finden können.
Spybot findet nichts, nur der Ad-aware findet immer einen tracker. Den lass ich dann auch durch ad-aware löschen, nur
am nächsten tag geht das spiel dann wieder von vorne los - firefox startet plötzlich und diese uEXci4uY.exe erscheint wieder
im taskmanager und ad-aware findet auch wieder einen tracker. kann mir jemand sagen, wie ich jetzt weiter vorgehen sollte?

Arbeite die Schritte in folgender Reihenfolge ab.

1. Malwarebytes

Lasse Malwarebytes wie beschrieben laufen und poste das Logfile hier

2. HiJackThis Log erstellen

Lasse HijackThis wie beschrieben laufen

3. Logs posten

Poste die folgenden Logs hier

- Malwarebytes
- HiJackthis log (Links editieren)

Hier das logfile von Malwarebytes:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 938
Windows 5.1.2600 Service Pack 2

15:44:57 11.07.2008
mbam-log-7-11-2008 (15-44-57).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 66524
Scan Dauer: 6 minute(s), 55 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Und hier von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:47:14, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\GIGABYTE\GEST\GEST.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\GIGABYTE\GEST\GSvr.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\uEXci4uY.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programme\vmntoolbar\vmntoolbar.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programme\vmntoolbar\vmntoolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [GEST] "C:\Programme\GIGABYTE\GEST\run.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://M:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - M:\Programme\Ahead Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4883 bytes



Im HijackThis Log ist diese C:\WINDOWS\system32\uEXci4uY.exe auch wieder aufgeführt.

C:\WINDOWS\system32\uEXci4uY.exe


Dateien Online überprüfen lassen:

* Besuche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\uEXci4uY.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)

Datei uEXci4uY.exe empfangen 2008.07.11 16:07:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 26/33 (78.79%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.11 Win32/NSAnti.suspicious
AntiVir 7.8.0.64 2008.07.11 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.11 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.07.11 Generic10.AOMF
BitDefender 7.2 2008.07.11 Trojan.Generic.332216
CAT-QuickHeal 9.50 2008.07.10 TrojanDownloader.Agent.tym
ClamAV 0.93.1 2008.07.11 Trojan.Downloader-41566
DrWeb 4.44.0.09170 2008.07.11 Trojan.Packed.418
eSafe 7.0.17.0 2008.07.10 Suspicious File
eTrust-Vet 31.6.5947 2008.07.11 Win32/Vxidl!generic
Ewido 4.0 2008.07.11 -
F-Prot 4.4.4.56 2008.07.10 -
F-Secure 7.60.13501.0 2008.07.10 Trojan-Downloader.Win32.Agent.tym
Fortinet 3.14.0.0 2008.07.11 W32/Agent.TYM!tr.dldr
GData 2.0.7306.1023 2008.07.11 Trojan-Downloader.Win32.Agent.tym
Ikarus T3.1.1.26.0 2008.07.11 Trojan.Crypt.ULPM
Kaspersky 7.0.0.125 2008.07.11 Trojan-Downloader.Win32.Agent.tym
McAfee 5336 2008.07.10 New Malware.bl
Microsoft 1.3704 2008.07.11 -
NOD32v2 3262 2008.07.11 probably unknown NewHeur_PE virus
Norman 5.80.02 2008.07.11 W32/Agent.GJML
Panda 9.0.0.4 2008.07.10 Generic Malware
Prevx1 V2 2008.07.11 Malicious Software
Rising 20.52.41.00 2008.07.11 -
Sophos 4.31.0 2008.07.11 Mal/HckPk-A
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.11 Packed.Generic.73
TheHacker 6.2.96.376 2008.07.10 Trojan/Downloader.Agent.tym
TrendMicro 8.700.0.1004 2008.07.11 PAK_Generic.001
VBA32 3.12.6.9 2008.07.11 Trojan-Downloader.Win32.Agent.tym
VirusBuster 4.5.11.0 2008.07.11 -
Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Crypt.ULPM.Gen

weitere Informationen
File size: 35842 bytes
MD5...: 05a53566c258f9b18222c9f910f13d5c
SHA1..: bb64335ea81bc8c227095d3988b8bdd74358ff45
SHA256: e15fdedbd92a87bd5df775a8763feefa0384b3913a30160fcb9fa83f38451864
SHA512: ae4ce1a6411917703e7e0b10de15d72d2c4336a80066cfebee045ec135ba88bf
4b377581c7181801890c1850231385cd73ecc5bdfdb9c78127d11f2a87ed5eb1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4141d9
timedatestamp.....: 0x484e64d2 (Tue Jun 10 11:26:10 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xc000 0x9000 0x8400 7.98 ad14c907c35ae86aa50e154c0835c2e5
UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> NETAPI32.dll: NetScheduleJobAdd
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> SHELL32.dll: StrChrA
> SHLWAPI.dll: StrDupA
> USER32.dll: wsprintfA
> WININET.dll: InternetOpenA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramte...57E500562AA384

Gehe wiefolgt vor

1. Datei löschen

Reboot(Neustarte) im abgesicherten Modus.


Stelle Deinen Rechner wie hier beschrieben ein.
Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\WINDOWS\system32\uEXci4uY.exe


Dann starte den Rechner im normalen Modus neu.

2. GMER - Rootkit Detection

* Lade GMER von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt



* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
* Wenn das Log zu lang fürs Forum ist, lade es hier hoch und poste den Link

Gmer Deinstallieren
Starte die Datei C:\WINDOWS\gmer_uninstall.cmd mit einem Doppelklick, starte nach dem ausführen den Rechner neu.
Dann löschen im selben Verzeichnis die Dateien gmer_uninstall.cmd, gmer.ini und gmer.bat.

3. Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

Ist die Datei zu groß, lade sie bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste den Link.