uEXci4uY.exe kommt immer wieder

Eros Thanatos · 11.07.2008, 17:48

Datei tnHJu1GO.exe empfangen 2008.07.11 18:46:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 27/33 (81.82%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.11 Win-Trojan/Firu.29760.D
AntiVir 7.8.0.64 2008.07.11 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.11 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.07.11 Downloader.Generic7.RWI
BitDefender 7.2 2008.07.11 Trojan.Downloader.Firu.G
CAT-QuickHeal 9.50 2008.07.11 Win32.Packed.NSAnti.r
ClamAV 0.93.1 2008.07.11 Trojan.Downloader-44665
DrWeb 4.44.0.09170 2008.07.11 Trojan.Packed.418
eSafe 7.0.17.0 2008.07.10 Suspicious File
eTrust-Vet 31.6.5947 2008.07.11 Win32/SillyDl.ETW
Ewido 4.0 2008.07.11 -
F-Prot 4.4.4.56 2008.07.10 -
F-Secure 7.60.13501.0 2008.07.10 -
Fortinet 3.14.0.0 2008.07.11 PossibleThreat
GData 2.0.7306.1023 2008.07.11 Trojan-Downloader.Win32.Firu.gm
Ikarus T3.1.1.26.0 2008.07.11 Trojan-Downloader.Firu.C
Kaspersky 7.0.0.125 2008.07.11 Trojan-Downloader.Win32.Firu.gm
McAfee 5337 2008.07.11 Downloader.gen.a
Microsoft 1.3704 2008.07.11 Trojan:Win32/Bohmini.A
NOD32v2 3263 2008.07.11 a variant of Win32/TrojanDownloader.Firu
Norman 5.80.02 2008.07.11 W32/DLoader.HOGQ
Panda 9.0.0.4 2008.07.11 Trj/Agent.IXT
Prevx1 V2 2008.07.11 Malicious Software
Rising 20.52.41.00 2008.07.11 -
Sophos 4.31.0 2008.07.11 Mal/HckPk-A
Sunbelt 3.1.1509.1 2008.07.04 Trojan-Downloader.Win32.Firu.eh
Symantec 10 2008.07.11 SecurityRisk.Downldr
TheHacker 6.2.96.376 2008.07.10 Trojan/Downloader.Firu.eh
TrendMicro 8.700.0.1004 2008.07.11 PAK_Generic.001
VBA32 3.12.6.9 2008.07.11 Trojan-Downloader.Win32.Firu.eh
VirusBuster 4.5.11.0 2008.07.11 -
Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Crypt.ULPM.Gen
weitere Informationen
File size: 29760 bytes
MD5...: 739c2891829d438db5bcf3d9ce17220a
SHA1..: 8f8b31df0612c8ca3d0baeee8477dac21905bdac
SHA256: 6a22d52cb0849b706cac74de29b3cd42eea67e1396f5f39da3b6d6f1cdf60373
SHA512: c3a8593136321c2300ea6431231292f37c89b40ae2e03961eb2a12fb65b07758
7e22c47f09e081a80a3f1794c2b5f065c7feb533ff88e74b4cfa0bdf0643138c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40cb40
timedatestamp.....: 0x4848f092 (Fri Jun 06 08:08:50 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x6000 0x7000 0x6e00 7.96 e9049e8e5014846ac8fe96c176f1103f
.rsrc 0xd000 0x1000 0x200 2.64 f82f8511f32941e05ec75163800bcd2e

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: SetSecurityDescriptorDacl

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BFC16343409E012874A300DC4D1A3B00EAC8BB71

Eros Thanatos · 11.07.2008, 17:59

ComboFix 08-07-10.1 - Eros Thanatos 2008-07-11 18:50:10.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.3129 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\tmp1A9.tmp
C:\WINDOWS\system32\tmp1AA.tmp
C:\WINDOWS\system32\tnHJu1GO.exe
C:\WINDOWS\system32\uEXci4uY.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At25.job
C:\WINDOWS\Tasks\At26.job
C:\WINDOWS\Tasks\At27.job
C:\WINDOWS\Tasks\At28.job
C:\WINDOWS\Tasks\At29.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At30.job
C:\WINDOWS\Tasks\At31.job
C:\WINDOWS\Tasks\At32.job
C:\WINDOWS\Tasks\At33.job
C:\WINDOWS\Tasks\At34.job
C:\WINDOWS\Tasks\At35.job
C:\WINDOWS\Tasks\At36.job
C:\WINDOWS\Tasks\At37.job
C:\WINDOWS\Tasks\At38.job
C:\WINDOWS\Tasks\At39.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At40.job
C:\WINDOWS\Tasks\At41.job
C:\WINDOWS\Tasks\At42.job
C:\WINDOWS\Tasks\At43.job
C:\WINDOWS\Tasks\At44.job
C:\WINDOWS\Tasks\At45.job
C:\WINDOWS\Tasks\At46.job
C:\WINDOWS\Tasks\At47.job
C:\WINDOWS\Tasks\At48.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\tmp1A9.tmp
C:\WINDOWS\system32\tmp1AA.tmp
C:\WINDOWS\system32\tnHJu1GO.exe
C:\WINDOWS\Tasks\At1.job
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At25.job
C:\WINDOWS\Tasks\At26.job
C:\WINDOWS\Tasks\At27.job
C:\WINDOWS\Tasks\At28.job
C:\WINDOWS\Tasks\At29.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At30.job
C:\WINDOWS\Tasks\At31.job
C:\WINDOWS\Tasks\At32.job
C:\WINDOWS\Tasks\At33.job
C:\WINDOWS\Tasks\At34.job
C:\WINDOWS\Tasks\At35.job
C:\WINDOWS\Tasks\At36.job
C:\WINDOWS\Tasks\At37.job
C:\WINDOWS\Tasks\At38.job
C:\WINDOWS\Tasks\At39.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At40.job
C:\WINDOWS\Tasks\At41.job
C:\WINDOWS\Tasks\At42.job
C:\WINDOWS\Tasks\At43.job
C:\WINDOWS\Tasks\At44.job
C:\WINDOWS\Tasks\At45.job
C:\WINDOWS\Tasks\At46.job
C:\WINDOWS\Tasks\At47.job
C:\WINDOWS\Tasks\At48.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-11 bis 2008-07-11 ))))))))))))))))))))))))))))))
.

2008-07-11 17:22 . 2008-07-11 17:22 250 --a------ C:\WINDOWS\gmer.ini
2008-07-11 16:00 . 2008-07-11 16:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-07-11 16:00 . 2008-07-11 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\VMNTOOLBAR
2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Malwarebytes
2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-11 15:36 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-11 15:36 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 11:38 . 2008-07-11 11:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-11 11:38 . 2008-07-11 11:38 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-04 22:59 . 2008-07-04 22:59 <DIR> d-------- C:\Programme\Haali
2008-07-04 22:58 . 2008-07-04 22:58 <DIR> d-------- C:\Programme\CoreCodec
2008-06-14 17:40 . 2008-06-14 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Smith Micro
2008-06-11 16:04 . 2008-06-11 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 16:50 16,608 ----a-w C:\WINDOWS\gdrv.sys
2008-07-11 15:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HDD Thermometer
2008-07-10 19:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\dvdcss
2008-07-07 09:37 --------- d-----w C:\Programme\FlashFXP
2008-07-06 21:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\FileZilla
2008-07-01 21:35 --------- d-----w C:\Programme\Napster
2008-06-30 16:49 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-04 22:01 --------- d-----w C:\Programme\EA SPORTS
2008-06-04 16:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters
2008-06-04 15:58 444,952 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-04 15:58 109,080 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-04 15:58 --------- d-----w C:\Programme\OpenAL
2008-05-31 05:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FlashFXP
2008-05-31 04:44 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\SiteClasses
2008-05-31 04:42 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Sites
2008-05-31 04:42 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Dynamic
2008-05-21 15:26 --------- d-----w C:\Programme\NVIDIA Corporation
2008-05-21 15:25 --------- d-----w C:\Programme\NVIDIA nTune Performance Application
2008-05-18 21:44 16,760 ----a-w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-14 16:30 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Tunebite
2008-05-14 16:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\RTPlayer
2008-05-14 15:54 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Roxio
2008-05-14 15:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-05-14 15:11 --------- d-----w C:\Programme\PixiePack Codec Pack
2008-05-14 14:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Napster Shared
2008-05-14 14:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
2008-05-14 10:20 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-11 13:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-05-11 11:56 --------- d-----w C:\Programme\CyberLink
2008-05-11 11:55 505,392 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-05-06 18:13 353,576 ----a-w C:\WINDOWS\system32\msvcr71.dll
.

((((((((((((((((((((((((((((( snapshot@2008-07-11_18.01.33,29 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-11 15:48:08 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-11 16:52:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"RSD_HDDThermo"="C:\Programme\HDD Thermometer\HDD Thermometer.exe" [2008-04-24 15:17 215040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 08:36 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-08-29 10:55 1966080]
"Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-08-30 17:57 2154496]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2006-01-18 12:48 1480192]
"GEST"="C:\Programme\GIGABYTE\GEST\run.exe" [2007-12-14 11:46 236040]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 07:15 221184]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 12:14 16844800 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 M:\Programme\Adobe 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-03-12 13:49 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-04-01 11:39 486856 M:\Programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2005-02-17 07:15 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--------- 2007-03-14 21:01 54832 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-09 18:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2007-03-14 21:01 71216 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
--a------ 2006-05-24 20:31 1372160 C:\Programme\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StyleXPService"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\FileZilla FTP Client\\filezilla.exe"=
"C:\\Programme\\GIGABYTE\\@BIOS\\gwflash.exe"=
"C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"M:\\Programme\\TmNationsForever\\TmForever.exe"=

R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-09-19 21:37]
R2 thdudf;TOSHIBA UDF2.5 Reader File System Driver;C:\WINDOWS\system32\DRIVERS\thdudf.sys [2006-11-11 02:25]
R3 CX88xNoIR;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2003-02-03 21:29]
R3 GEST Service;GEST Service for program management.;C:\Programme\GIGABYTE\GEST\GSvr.exe [2007-12-14 11:46]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys [2003-02-03 21:29]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2003-02-03 21:29]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bf32711-04c4-11dd-99ad-001d7d00a162}]
\Shell\AutoRun\command - K:\JDSecure\Windows\JDSecure31.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 18:52:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\GIGABYTE\GEST\gest.exe
C:\WINDOWS\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-11 18:55:18 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-11 16:55:13
ComboFix2.txt 2008-07-11 16:01:48

9 Verzeichnis(se), 34,375,421,952 Bytes frei
11 Verzeichnis(se), 34,368,573,440 Bytes frei

274 --- E O F --- 2008-04-09 13:16:27

BataAlexander · 11.07.2008, 18:05

Das sieht alles sehr schön aus

1. Combofix deinstallieren

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

2. Scan mit Malwarebytes

Dann lass Malwarebytes laufen und poste dessen Log hier.

3. Poste ein neues HijackThis Logfile

Erstelle ein neues HijackThis Logfile und poste es hier.

4. Berichte posten

- Poste den Scanbericht von Malwarebytes
- Poste das neue HiJackThisLogfile

Eros Thanatos · 11.07.2008, 18:16

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 938
Windows 5.1.2600 Service Pack 2

19:15:11 11.07.2008
mbam-log-7-11-2008 (19-15-11).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 66666
Scan Dauer: 7 minute(s), 17 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Eros Thanatos · 11.07.2008, 18:17

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:16:20, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HDD Thermometer\HDD Thermometer.exe
C:\Programme\GIGABYTE\GEST\GSvr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [GEST] "C:\Programme\GIGABYTE\GEST\run.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://M:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx
O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx
O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - M:\Programme\Ahead Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4613 bytes

BataAlexander · 11.07.2008, 18:29

Ok, sieht gut aus.

Wie verält sich Dein Rechner im Moment?

Eros Thanatos · 11.07.2008, 18:38

Bis jetzt alles Bestens.
Ich möchte mich dann bei dir ausdrücklich für die kompetente Betreuung bedanken.

BataAlexander · 11.07.2008, 18:39

Also hast Du scheinbar keine Probleme mehr

11.07.2008, 18:29	#21
BataAlexander > MalwareDB	uEXci4uY.exe kommt immer wieder Ok, sieht gut aus. Wie verält sich Dein Rechner im Moment? __________________ --> uEXci4uY.exe kommt immer wieder

11.07.2008, 18:39	#23
BataAlexander > MalwareDB	uEXci4uY.exe kommt immer wieder Also hast Du scheinbar keine Probleme mehr __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

uEXci4uY.exe kommt immer wieder

Plagegeister aller Art und deren Bekämpfung: uEXci4uY.exe kommt immer wieder