Trojaner-Board - uEXci4uY.exe kommt immer wieder

ComboFix 08-07-10.1 - Eros Thanatos 2008-07-11 18:50:10.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.3129 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\tmp1A9.tmp
C:\WINDOWS\system32\tmp1AA.tmp
C:\WINDOWS\system32\tnHJu1GO.exe
C:\WINDOWS\system32\uEXci4uY.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At25.job
C:\WINDOWS\Tasks\At26.job
C:\WINDOWS\Tasks\At27.job
C:\WINDOWS\Tasks\At28.job
C:\WINDOWS\Tasks\At29.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At30.job
C:\WINDOWS\Tasks\At31.job
C:\WINDOWS\Tasks\At32.job
C:\WINDOWS\Tasks\At33.job
C:\WINDOWS\Tasks\At34.job
C:\WINDOWS\Tasks\At35.job
C:\WINDOWS\Tasks\At36.job
C:\WINDOWS\Tasks\At37.job
C:\WINDOWS\Tasks\At38.job
C:\WINDOWS\Tasks\At39.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At40.job
C:\WINDOWS\Tasks\At41.job
C:\WINDOWS\Tasks\At42.job
C:\WINDOWS\Tasks\At43.job
C:\WINDOWS\Tasks\At44.job
C:\WINDOWS\Tasks\At45.job
C:\WINDOWS\Tasks\At46.job
C:\WINDOWS\Tasks\At47.job
C:\WINDOWS\Tasks\At48.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\tmp1A9.tmp
C:\WINDOWS\system32\tmp1AA.tmp
C:\WINDOWS\system32\tnHJu1GO.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At25.job
C:\WINDOWS\Tasks\At26.job
C:\WINDOWS\Tasks\At27.job
C:\WINDOWS\Tasks\At28.job
C:\WINDOWS\Tasks\At29.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At30.job
C:\WINDOWS\Tasks\At31.job
C:\WINDOWS\Tasks\At32.job
C:\WINDOWS\Tasks\At33.job
C:\WINDOWS\Tasks\At34.job
C:\WINDOWS\Tasks\At35.job
C:\WINDOWS\Tasks\At36.job
C:\WINDOWS\Tasks\At37.job
C:\WINDOWS\Tasks\At38.job
C:\WINDOWS\Tasks\At39.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At40.job
C:\WINDOWS\Tasks\At41.job
C:\WINDOWS\Tasks\At42.job
C:\WINDOWS\Tasks\At43.job
C:\WINDOWS\Tasks\At44.job
C:\WINDOWS\Tasks\At45.job
C:\WINDOWS\Tasks\At46.job
C:\WINDOWS\Tasks\At47.job
C:\WINDOWS\Tasks\At48.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-11 bis 2008-07-11 ))))))))))))))))))))))))))))))
.

2008-07-11 17:22 . 2008-07-11 17:22 250 --a------ C:\WINDOWS\gmer.ini
2008-07-11 16:00 . 2008-07-11 16:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-11 16:00 . 2008-07-11 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\VMNTOOLBAR
2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Malwarebytes
2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-11 15:36 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-11 15:36 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 11:38 . 2008-07-11 11:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-11 11:38 . 2008-07-11 11:38 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-04 22:59 . 2008-07-04 22:59 <DIR> d-------- C:\Programme\Haali
2008-07-04 22:58 . 2008-07-04 22:58 <DIR> d-------- C:\Programme\CoreCodec
2008-06-14 17:40 . 2008-06-14 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Smith Micro
2008-06-11 16:04 . 2008-06-11 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 16:50 16,608 ----a-w C:\WINDOWS\gdrv.sys
2008-07-11 15:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HDD Thermometer
2008-07-10 19:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\dvdcss
2008-07-07 09:37 --------- d-----w C:\Programme\FlashFXP
2008-07-06 21:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\FileZilla
2008-07-01 21:35 --------- d-----w C:\Programme\Napster
2008-06-30 16:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-04 22:01 --------- d-----w C:\Programme\EA SPORTS
2008-06-04 16:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters
2008-06-04 15:58 444,952 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-04 15:58 109,080 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-04 15:58 --------- d-----w C:\Programme\OpenAL
2008-05-31 05:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FlashFXP
2008-05-31 04:44 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\SiteClasses
2008-05-31 04:42 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Sites
2008-05-31 04:42 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Dynamic
2008-05-21 15:26 --------- d-----w C:\Programme\NVIDIA Corporation
2008-05-21 15:25 --------- d-----w C:\Programme\NVIDIA nTune Performance Application
2008-05-18 21:44 16,760 ----a-w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-14 16:30 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Tunebite
2008-05-14 16:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\RTPlayer
2008-05-14 15:54 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Roxio
2008-05-14 15:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-05-14 15:11 --------- d-----w C:\Programme\PixiePack Codec Pack
2008-05-14 14:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Napster Shared
2008-05-14 14:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
2008-05-14 10:20 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-11 13:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-05-11 11:56 --------- d-----w C:\Programme\CyberLink
2008-05-11 11:55 505,392 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-05-06 18:13 353,576 ----a-w C:\WINDOWS\system32\msvcr71.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-11_18.01.33,29 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-11 15:48:08 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-11 16:52:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"RSD_HDDThermo"="C:\Programme\HDD Thermometer\HDD Thermometer.exe" [2008-04-24 15:17 215040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 08:36 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-08-29 10:55 1966080]
"Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-08-30 17:57 2154496]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2006-01-18 12:48 1480192]
"GEST"="C:\Programme\GIGABYTE\GEST\run.exe" [2007-12-14 11:46 236040]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 07:15 221184]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 12:14 16844800 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 M:\Programme\Adobe 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 13:49 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 11:39 486856 M:\Programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2005-02-17 07:15 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--------- 2007-03-14 21:01 54832 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 18:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2007-03-14 21:01 71216 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
--a------ 2006-05-24 20:31 1372160 C:\Programme\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StyleXPService"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\FileZilla FTP Client\\filezilla.exe"=
"C:\\Programme\\GIGABYTE\\@BIOS\\gwflash.exe"=
"C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"M:\\Programme\\TmNationsForever\\TmForever.exe"=

R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-09-19 21:37]
R2 thdudf;TOSHIBA UDF2.5 Reader File System Driver;C:\WINDOWS\system32\DRIVERS\thdudf.sys [2006-11-11 02:25]
R3 CX88xNoIR;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2003-02-03 21:29]
R3 GEST Service;GEST Service for program management.;C:\Programme\GIGABYTE\GEST\GSvr.exe [2007-12-14 11:46]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys [2003-02-03 21:29]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2003-02-03 21:29]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bf32711-04c4-11dd-99ad-001d7d00a162}]
\Shell\AutoRun\command - K:\JDSecure\Windows\JDSecure31.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 18:52:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\GIGABYTE\GEST\gest.exe
C:\WINDOWS\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-11 18:55:18 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-11 16:55:13
ComboFix2.txt 2008-07-11 16:01:48

9 Verzeichnis(se), 34,375,421,952 Bytes frei
11 Verzeichnis(se), 34,368,573,440 Bytes frei

274 --- E O F --- 2008-04-09 13:16:27