| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: uEXci4uY.exe kommt immer wiederWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
11.07.2008, 12:36
| #1 |
 |  uEXci4uY.exe kommt immer wieder Hallo Leute, seit zwei Tagen hab ich das Problem, dass auf meinem Bildschirm plötzlich der Firefox aufgeht und irgendeine Seite dann zu sehen ist. Im Taskmanager finde ich dann immer die mir unbekannte exe-Datei "uEXci4uY.exe". Google hat zu dem nichts finden können. Spybot findet nichts, nur der Ad-aware findet immer einen tracker. Den lass ich dann auch durch ad-aware löschen, nur am nächsten tag geht das spiel dann wieder von vorne los - firefox startet plötzlich und diese uEXci4uY.exe erscheint wieder im taskmanager und ad-aware findet auch wieder einen tracker. kann mir jemand sagen, wie ich jetzt weiter vorgehen sollte? |
|
11.07.2008, 12:59
| #2 |
| > MalwareDB   | uEXci4uY.exe kommt immer wieder Arbeite die Schritte in folgender Reihenfolge ab.
__________________1. Malwarebytes Lasse Malwarebytes wie beschrieben laufen und poste das Logfile hier2. HiJackThis Log erstellen Lasse HijackThis wie beschrieben laufen3. Logs posten Poste die folgenden Logs hier
__________________ |
|
11.07.2008, 14:54
| #3 |
| | uEXci4uY.exe kommt immer wieder Hier das logfile von Malwarebytes:
__________________Malwarebytes' Anti-Malware 1.20 Datenbank Version: 938 Windows 5.1.2600 Service Pack 2 15:44:57 11.07.2008 mbam-log-7-11-2008 (15-44-57).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 66524 Scan Dauer: 6 minute(s), 55 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) Und hier von HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:47:14, on 11.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\XpertVision\TBPanel.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\DU Meter\DUMeter.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\HDD Thermometer\HDD Thermometer.exe C:\Programme\GIGABYTE\GEST\GEST.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\GIGABYTE\GEST\GSvr.exe C:\Programme\TrueCrypt\TrueCrypt.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\uEXci4uY.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programme\vmntoolbar\vmntoolbar.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programme\vmntoolbar\vmntoolbar.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [GEST] "C:\Programme\GIGABYTE\GEST\run.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://M:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing) O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - M:\Programme\Ahead Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4883 bytes Im HijackThis Log ist diese C:\WINDOWS\system32\uEXci4uY.exe auch wieder aufgeführt. |
|
11.07.2008, 14:59
| #4 | |
| > MalwareDB | uEXci4uY.exe kommt immer wieder C:\WINDOWS\system32\uEXci4uY.exe Dateien Online überprüfen lassen: * Besuche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen. * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
11.07.2008, 15:08
| #5 |
| | uEXci4uY.exe kommt immer wieder Datei uEXci4uY.exe empfangen 2008.07.11 16:07:17 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 26/33 (78.79%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.11.0 2008.07.11 Win32/NSAnti.suspicious AntiVir 7.8.0.64 2008.07.11 TR/Crypt.ULPM.Gen Authentium 5.1.0.4 2008.07.10 - Avast 4.8.1195.0 2008.07.11 Win32:Trojan-gen {Other} AVG 7.5.0.516 2008.07.11 Generic10.AOMF BitDefender 7.2 2008.07.11 Trojan.Generic.332216 CAT-QuickHeal 9.50 2008.07.10 TrojanDownloader.Agent.tym ClamAV 0.93.1 2008.07.11 Trojan.Downloader-41566 DrWeb 4.44.0.09170 2008.07.11 Trojan.Packed.418 eSafe 7.0.17.0 2008.07.10 Suspicious File eTrust-Vet 31.6.5947 2008.07.11 Win32/Vxidl!generic Ewido 4.0 2008.07.11 - F-Prot 4.4.4.56 2008.07.10 - F-Secure 7.60.13501.0 2008.07.10 Trojan-Downloader.Win32.Agent.tym Fortinet 3.14.0.0 2008.07.11 W32/Agent.TYM!tr.dldr GData 2.0.7306.1023 2008.07.11 Trojan-Downloader.Win32.Agent.tym Ikarus T3.1.1.26.0 2008.07.11 Trojan.Crypt.ULPM Kaspersky 7.0.0.125 2008.07.11 Trojan-Downloader.Win32.Agent.tym McAfee 5336 2008.07.10 New Malware.bl Microsoft 1.3704 2008.07.11 - NOD32v2 3262 2008.07.11 probably unknown NewHeur_PE virus Norman 5.80.02 2008.07.11 W32/Agent.GJML Panda 9.0.0.4 2008.07.10 Generic Malware Prevx1 V2 2008.07.11 Malicious Software Rising 20.52.41.00 2008.07.11 - Sophos 4.31.0 2008.07.11 Mal/HckPk-A Sunbelt 3.1.1509.1 2008.07.04 - Symantec 10 2008.07.11 Packed.Generic.73 TheHacker 6.2.96.376 2008.07.10 Trojan/Downloader.Agent.tym TrendMicro 8.700.0.1004 2008.07.11 PAK_Generic.001 VBA32 3.12.6.9 2008.07.11 Trojan-Downloader.Win32.Agent.tym VirusBuster 4.5.11.0 2008.07.11 - Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Crypt.ULPM.Gen weitere Informationen File size: 35842 bytes MD5...: 05a53566c258f9b18222c9f910f13d5c SHA1..: bb64335ea81bc8c227095d3988b8bdd74358ff45 SHA256: e15fdedbd92a87bd5df775a8763feefa0384b3913a30160fcb9fa83f38451864 SHA512: ae4ce1a6411917703e7e0b10de15d72d2c4336a80066cfebee045ec135ba88bf 4b377581c7181801890c1850231385cd73ecc5bdfdb9c78127d11f2a87ed5eb1 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4141d9 timedatestamp.....: 0x484e64d2 (Tue Jun 10 11:26:10 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0xb000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0xc000 0x9000 0x8400 7.98 ad14c907c35ae86aa50e154c0835c2e5 UPX2 0x15000 0x1000 0x400 2.73 af8114c7acc7de4abf32e98010e97503 ( 9 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > ADVAPI32.dll: RegCloseKey > NETAPI32.dll: NetScheduleJobAdd > ole32.dll: CoInitialize > OLEAUT32.dll: - > SHELL32.dll: StrChrA > SHLWAPI.dll: StrDupA > USER32.dll: wsprintfA > WININET.dll: InternetOpenA ( 0 exports ) Prevx info: http://info.prevx.com/aboutprogramte...57E500562AA384 |
|
11.07.2008, 16:02
| #6 |
| > MalwareDB | uEXci4uY.exe kommt immer wieder Gehe wiefolgt vor 1. Datei löschen Reboot(Neustarte) im abgesicherten Modus.2. GMER - Rootkit Detection * Lade GMER von hier3. Filelist 1. Lade das filelist.zip auf deinen Desktop herunter.
__________________ --> uEXci4uY.exe kommt immer wieder |
|
11.07.2008, 16:29
| #7 |
| | uEXci4uY.exe kommt immer wieder GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-07-11 17:29:07 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT spqq.sys ZwCreateKey [0xBA6A80E0] SSDT spqq.sys ZwEnumerateKey [0xBA6C6CA2] SSDT spqq.sys ZwEnumerateValueKey [0xBA6C7030] SSDT spqq.sys ZwOpenKey [0xBA6A80C0] SSDT spqq.sys ZwQueryKey [0xBA6C7108] SSDT spqq.sys ZwQueryValueKey [0xBA6C6F88] SSDT spqq.sys ZwSetValueKey [0xBA6C719A] INT 0x62 ? 8A8C8BF8 INT 0x63 ? 8A58EF00 INT 0x73 ? 8A8C8BF8 INT 0x73 ? 8A8C8BF8 INT 0x73 ? 8A859BF8 INT 0x73 ? 8A58EF00 INT 0x73 ? 8A8C8BF8 INT 0x82 ? 8A8C8BF8 INT 0x83 ? 8A58EF00 INT 0x94 ? 8A58EF00 INT 0xB4 ? 8A58EF00 INT 0xB4 ? 8A58EF00 INT 0xB4 ? 8A58EF00 INT 0xB4 ? 8A58EF00 ---- Kernel code sections - GMER 1.0.14 ---- ? spqq.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B9D5562C 5 Bytes JMP 8A58E4E0 ? System32\Drivers\adzf8zmj.SYS Das System kann die angegebene Datei nicht finden. ! ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6A9040] spqq.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6A913C] spqq.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6A90BE] spqq.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6A97FC] spqq.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6A96D2] spqq.sys ---- User IAT/EAT - GMER 1.0.14 ---- IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [01937376] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) IAT C:\Programme\Mozilla Firefox\firefox.exe[920] @ C:\WINDOWS\System32\SAMLIB.dll [KERNEL32.dll!SetUnhandledExceptionFilter] [019373CC] C:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\FULLSOFT.DLL (Talkback Library/Full Circle Software, Inc.) ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 8A8551F8 Device \FileSystem\Udfs \UdfsCdRom 89CC31F8 Device \FileSystem\Udfs \UdfsDisk 89CC31F8 Device \Driver\usbuhci \Device\USBPDO-0 8A4DA500 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A8571F8 Device \Driver\dmio \Device\DmControl\DmConfig 8A8571F8 Device \Driver\dmio \Device\DmControl\DmPnP 8A8571F8 Device \Driver\dmio \Device\DmControl\DmInfo 8A8571F8 Device \Driver\usbuhci \Device\USBPDO-1 8A4DA500 Device \Driver\PCI_PNP6958 \Device\00000045 spqq.sys Device \Driver\usbuhci \Device\USBPDO-2 8A4DA500 Device \Driver\usbehci \Device\USBPDO-3 8A4DB500 Device \Driver\usbuhci \Device\USBPDO-4 8A4DA500 Device \Driver\usbuhci \Device\USBPDO-5 8A4DA500 Device \Driver\usbuhci \Device\USBPDO-6 8A4DA500 Device \Driver\Ftdisk \Device\HarddiskVolume1 8A8C91F8 Device \Driver\usbehci \Device\USBPDO-7 8A4DB500 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A8C91F8 Device \Driver\Cdrom \Device\CdRom0 8A64B1F8 Device \Driver\Ftdisk \Device\HarddiskVolume3 8A8C91F8 Device \Driver\Cdrom \Device\CdRom1 8A64B1F8 Device \Driver\atapi \Device\Ide\IdePort0 8A8C81F8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 8A8C81F8 Device \Driver\atapi \Device\Ide\IdePort1 8A8C81F8 Device \Driver\atapi \Device\Ide\IdePort2 8A8C81F8 Device \Driver\atapi \Device\Ide\IdePort3 8A8C81F8 Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-19 8A8C81F8 Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e 8A8C81F8 Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-24 8A8C81F8 Device \Driver\Cdrom \Device\CdRom2 8A64B1F8 Device \Driver\NetBT \Device\NetBt_Wins_Export 89D5C1F8 Device \Driver\sptd \Device\723600708 spqq.sys Device \Driver\NetBT \Device\NetbiosSmb 89D5C1F8 Device \Driver\usbuhci \Device\USBFDO-0 8A4DA500 Device \Driver\NetBT \Device\NetBT_Tcpip_{6F6A615A-DF82-4A46-9C45-493DF5DB69C9} 89D5C1F8 Device \Driver\usbuhci \Device\USBFDO-1 8A4DA500 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89D871F8 Device \Driver\usbuhci \Device\USBFDO-2 8A4DA500 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89D871F8 Device \Driver\usbehci \Device\USBFDO-3 8A4DB500 Device \Driver\usbuhci \Device\USBFDO-4 8A4DA500 Device \Driver\Ftdisk \Device\FtControl 8A8C91F8 Device \Driver\usbuhci \Device\USBFDO-5 8A4DA500 Device \Driver\usbuhci \Device\USBFDO-6 8A4DA500 Device \Driver\usbehci \Device\USBFDO-7 8A4DB500 Device \Driver\adzf8zmj \Device\Scsi\adzf8zmj1 8A574500 Device \Driver\adzf8zmj \Device\Scsi\adzf8zmj1Port5Path0Target0Lun0 8A574500 Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8A8561F8 Device \Driver\JRAID \Device\Scsi\JRAID1 8A8561F8 Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target1Lun0 8A8561F8 Device \FileSystem\Cdfs \Cdfs 89D271F8 ---- Processes - GMER 1.0.14 ---- Process C:\WINDOWS\system32\ZSHP1020.EXE (*** hidden *** ) 3476 ---- Registry - GMER 1.0.14 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 M:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA5 0x4F 0x00 0x31 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x12 0xC5 0xC5 0xA3 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA2 0x96 0xE8 0x45 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 M:\Programme\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xA5 0x4F 0x00 0x31 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x12 0xC5 0xC5 0xA3 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xA2 0x96 0xE8 0x45 ... ---- EOF - GMER 1.0.14 ---- |
|
11.07.2008, 16:38
| #8 |
| | uEXci4uY.exe kommt immer wieder Verzeichnis von C:\ 11.07.2008 10:37 122 service.log 11.07.2008 10:36 2.145.386.496 pagefile.sys 11.05.2008 15:51 211 boot.ini Verzeichnis von C:\WINDOWS\system32 11.07.2008 17:31 35.842 uEXci4uY.exe 11.07.2008 10:36 13.646 wpa.dbl 10.07.2008 11:40 29.760 tnHJu1GO.exe 04.06.2008 17:58 444.952 wrap_oal.dll 04.06.2008 17:58 109.080 OpenAL32.dll Verzeichnis von C:\WINDOWS\Prefetch 11.07.2008 17:31 11.572 FIND.EXE-0EEAD1A7.pf 11.07.2008 17:31 9.490 UEXCI4UY.EXE-0485A20F.pf 11.07.2008 17:31 12.324 CMD.EXE-034B0549.pf 11.07.2008 17:31 19.246 G0CFVO5K.EXE-39937CFB.pf 11.07.2008 17:31 132.590 WINRAR.EXE-1F2395DA.pf 11.07.2008 17:30 70.390 FIREFOX.EXE-28BE8AE1.pf 11.07.2008 17:28 16.840 NOTEPAD.EXE-2F2D61E1.pf 11.07.2008 17:22 74.984 GMER.EXE-3B4DEC64.pf 11.07.2008 17:21 11.922 TASKMGR.EXE-06144C13.pf 11.07.2008 17:18 15.116 VERCLSID.EXE-28F52AD2.pf 11.07.2008 17:00 105.488 IEXPLORE.EXE-360BBB5C.pf 11.07.2008 17:00 14.402 TNHJU1GO.EXE-29B86FA4.pf 11.07.2008 16:57 20.338 WUAUCLT.EXE-1360D60A.pf 11.07.2008 16:57 64.982 RUNDLL32.EXE-3C98A3C8.pf 11.07.2008 15:57 61.614 ACRORD32.EXE-31DC9714.pf 11.07.2008 15:57 64.660 ACRORD32INFO.EXE-3B1053FA.pf 11.07.2008 15:47 56.708 WMIPRVSE.EXE-0D449B4F.pf 11.07.2008 15:47 12.606 HIJACKTHIS.EXE-0EBD9A2B.pf 11.07.2008 15:37 39.420 MBAM.EXE-325FAE38.pf 11.07.2008 15:36 16.050 REGSVR32.EXE-396DEA2C.pf 11.07.2008 15:35 20.290 MBAM-SETUP.TMP-2310D18C.pf 11.07.2008 15:35 14.874 MBAM-SETUP.EXE-38B6DDC4.pf 11.07.2008 15:26 25.048 M48QDSBL.EXE-21C7B44C.pf 11.07.2008 14:30 6.504 ZSHP1020.EXE-0BC96585.pf 11.07.2008 13:36 34.046 WINTV2K.EXE-07353B3A.pf 11.07.2008 13:25 35.376 AD-AWARE.EXE-063A652A.pf 11.07.2008 13:20 25.036 EMEEWXWU.EXE-243A0E3C.pf 11.07.2008 12:45 50.438 ADOBEUPDATER.EXE-285901AC.pf 11.07.2008 11:41 162.660 MPLAYERC.EXE-2DE2585C.pf 11.07.2008 11:20 61.438 MSIMN.EXE-2E3AC8DB.pf 11.07.2008 11:15 12.972 TONPSX84.EXE-3472BAC2.pf 11.07.2008 10:43 23.890 LEECHFTP.EXE-041FF418.pf 11.07.2008 10:40 19.552 TRUECRYPT.EXE-32E9C10B.pf 11.07.2008 01:33 5.260 WSCNTFY.EXE-0B14C27D.pf 10.07.2008 21:11 90.858 VLC.EXE-2EF41CD6.pf 10.07.2008 21:11 30.886 RUNDLL32.EXE-4C0C3AB3.pf 10.07.2008 20:31 72.376 WINWORD.EXE-041FEA28.pf 10.07.2008 16:53 33.876 MSPAINT.EXE-146E0237.pf 10.07.2008 16:53 18.692 SVCHOST.EXE-2D5FBD18.pf 10.07.2008 15:03 357.626 Layout.ini 10.07.2008 14:06 78.172 SPYBOTSD.EXE-05E34E47.pf 10.07.2008 14:05 60.228 SDUPDATE.EXE-196984A2.pf 10.07.2008 14:00 19.444 ENSDP4U3.EXE-0533925E.pf 10.07.2008 13:55 16.100 DEFRAG.EXE-2858C7E2.pf 10.07.2008 13:55 52.294 DFRGNTFS.EXE-38C3807C.pf 10.07.2008 11:55 24.806 VT6Q68Q4.EXE-37BDFDB2.pf 10.07.2008 11:40 15.930 ORZ.EXE-386DA291.pf 09.07.2008 23:37 15.278 RUNDLL32.EXE-4661B368.pf 09.07.2008 23:17 31.258 RUNDLL32.EXE-48BE3BC7.pf 09.07.2008 22:55 21.352 RUNDLL32.EXE-57C8756E.pf 09.07.2008 22:02 49.814 LAUNCHERHL2EP1.EXE-31379F36.pf 09.07.2008 22:02 62.472 HL2.EXE-2241428E.pf 09.07.2008 21:01 71.178 MANAGER08.EXE-035EE7CB.pf 09.07.2008 20:54 17.310 MEGATRAINERXL.EXE-1BA4D716.pf 09.07.2008 18:11 31.520 SETUP_WM.EXE-21CBB822.pf 09.07.2008 18:08 55.368 WMPLAYER.EXE-017735B0.pf 09.07.2008 18:06 16.148 RUNDLL32.EXE-5137C7E3.pf 09.07.2008 18:06 20.148 RUNDLL32.EXE-41FB74E5.pf 09.07.2008 18:06 12.974 RUNDLL32.EXE-6E8D4657.pf 09.07.2008 18:04 17.610 DISTNOTED.EXE-21F80628.pf 09.07.2008 18:04 46.322 APPLEMOBILEDEVICEHELPER.EXE-1E0001FD.pf 09.07.2008 18:04 15.118 IPODSERVICE.EXE-07892C80.pf 09.07.2008 18:04 83.012 ITUNES.EXE-39AF51BF.pf 08.07.2008 23:17 12.402 DUMPREP.EXE-0AF2BF67.pf 08.07.2008 16:52 25.928 MSIEXEC.EXE-330626DC.pf 07.07.2008 20:26 60.602 HL2.EXE-3190FBD6.pf 07.07.2008 20:15 15.840 UNLTRAIN.EXE-15D5D9D2.pf 07.07.2008 12:01 73.034 EXCEL.EXE-32DB6F48.pf 07.07.2008 11:37 40.494 FLASHFXP.EXE-04D7333B.pf 06.07.2008 23:12 21.840 LEECHFTP.EXE-16B5579A.pf 06.07.2008 23:09 45.210 FILEZILLA.EXE-2D0DEBBC.pf 06.07.2008 20:41 33.490 HALF-LIFE 2 EPISODE ONE - DEU-1EE8E86B.pf 06.07.2008 20:37 21.864 RUNDLL32.EXE-54023F1C.pf 05.07.2008 18:25 25.376 RSD.EXE-0BB13F8D.pf 05.07.2008 17:08 30.866 RUNDLL32.EXE-607CBEC2.pf 05.07.2008 17:08 35.968 FLASHSFV.EXE-16F385B5.pf 05.07.2008 15:58 22.268 RUNDLL32.EXE-3C6A5378.pf 05.07.2008 15:12 60.208 EVIEWS5.EXE-0AB7A4D3.pf 05.07.2008 00:42 15.148 RUNDLL32.EXE-68F5740D.pf 04.07.2008 23:05 17.378 RUNDLL32.EXE-51CF1651.pf 04.07.2008 23:02 24.012 DRWTSN32.EXE-01DDCF15.pf 04.07.2008 23:02 31.354 DWWIN.EXE-2C373FB7.pf 04.07.2008 23:01 70.556 WMPLAYER.EXE-017735AB.pf 04.07.2008 22:58 19.478 HAALIMKX.EXE-04BAF316.pf 04.07.2008 22:58 12.322 KEYGEN.EXE-2B7F9EAF.pf 04.07.2008 22:58 18.728 COREAVC_PROFESSIONAL_EDITION--38066205.pf 04.07.2008 22:42 78.402 MEDIAINFO.EXE-138FD58E.pf 04.07.2008 22:42 8.330 QTTASK.EXE-0C419446.pf 04.07.2008 22:41 21.512 RUNDLL32.EXE-63C99FBC.pf 04.07.2008 22:34 21.914 MEDIAINFO_0.7.7.2_GUI_WIN32.E-238BC88D.pf 04.07.2008 22:31 35.282 DAEMON.EXE-0860C9A2.pf 04.07.2008 22:28 34.400 MATROSKADIAG.EXE-1FD3DC21.pf 04.07.2008 22:16 28.998 MPLAYERC6491.EXE-0C8A2BEA.pf 04.07.2008 22:09 16.976 UNINSTALL.EXE-2C2B4AA3.pf 04.07.2008 22:09 40.670 VLC-0.8.6H-WIN32.EXE-3B3FDF4C.pf 04.07.2008 22:07 30.944 RUNDLL32.EXE-451A207B.pf 04.07.2008 22:05 62.062 SHOWTIME.EXE-0182DA6F.pf 04.07.2008 22:05 31.436 RUNDLL32.EXE-6A2360A7.pf 04.07.2008 13:04 52.018 TMFOREVER.EXE-2FDDF5A6.pf 04.07.2008 13:04 41.224 TMFOREVERLAUNCHER.EXE-0FDC7A2D.pf 04.07.2008 12:46 81.238 SPORECREATURECREATOR.EXE-3AEB8555.pf 03.07.2008 00:15 302.980 HELPSVC.EXE-1C192440.pf 01.07.2008 23:35 71.686 NAPSTER.EXE-33F2894D.pf 01.07.2008 11:03 8.284 CURL.EXE-104EB17E.pf Verzeichnis von C:\WINDOWS 11.07.2008 17:31 558 DFC.INI 11.07.2008 17:22 250 gmer.ini 11.07.2008 17:22 80 gmer_uninstall.cmd 11.07.2008 17:22 884.736 gmer.dll 11.07.2008 16:57 1.320.513 WindowsUpdate.log 11.07.2008 13:00 32.294 SchedLgU.Txt 11.07.2008 11:41 69 NeroDigital.ini 11.07.2008 11:38 54.156 QTFont.qfn 11.07.2008 11:38 1.409 QTFont.for 11.07.2008 10:36 0 0.log 11.07.2008 10:36 16.608 gdrv.sys 11.07.2008 10:36 2.048 bootstat.dat 11.07.2008 01:33 50 wiaservc.log 11.07.2008 01:33 215 wiadebug.log 09.07.2008 18:11 19.041 wmsetup.log 11.06.2008 16:03 358.773 DirectX.log Verzeichnis von C:\WINDOWS\tasks 11.07.2008 17:01 354 At42.job 11.07.2008 17:00 354 At18.job 11.07.2008 16:19 354 At41.job 11.07.2008 16:00 354 At17.job 11.07.2008 15:00 354 At16.job 11.07.2008 15:00 354 At40.job 11.07.2008 14:00 354 At15.job 11.07.2008 14:00 354 At39.job 11.07.2008 13:00 354 At14.job 11.07.2008 13:00 354 At38.job 11.07.2008 12:00 354 At13.job 11.07.2008 12:00 354 At37.job 11.07.2008 11:00 354 At12.job 11.07.2008 11:00 354 At36.job 11.07.2008 10:36 6 SA.DAT 11.07.2008 01:00 354 At2.job 11.07.2008 01:00 354 At26.job 11.07.2008 00:41 354 At25.job 11.07.2008 00:34 354 At1.job 10.07.2008 23:00 354 At24.job 10.07.2008 23:00 354 At48.job 10.07.2008 22:00 354 At23.job 10.07.2008 22:00 354 At47.job 10.07.2008 21:00 354 At22.job 10.07.2008 21:00 354 At46.job 10.07.2008 20:00 354 At21.job 10.07.2008 20:00 354 At45.job 10.07.2008 19:00 354 At20.job 10.07.2008 19:00 354 At44.job 10.07.2008 18:00 354 At19.job 10.07.2008 18:00 354 At43.job 10.07.2008 11:55 354 At31.job 10.07.2008 11:55 354 At34.job 10.07.2008 11:55 354 At27.job 10.07.2008 11:55 354 At29.job 10.07.2008 11:55 354 At28.job 10.07.2008 11:55 354 At30.job 10.07.2008 11:55 354 At33.job 10.07.2008 11:55 354 At35.job 10.07.2008 11:55 354 At32.job 10.07.2008 11:41 354 At11.job 10.07.2008 11:41 354 At4.job 10.07.2008 11:41 354 At3.job 10.07.2008 11:41 354 At5.job 10.07.2008 11:41 354 At6.job 10.07.2008 11:41 354 At7.job 10.07.2008 11:41 354 At8.job 10.07.2008 11:41 354 At9.job 10.07.2008 11:41 354 At10.job Verzeichnis von C:\WINDOWS\temp 11.07.2008 16:00 5.402 3dw86C5x.dat 11.07.2008 16:00 5.402 sCVag7sW.dat 11.05.2008 14:43 16.384 Perflib_Perfdata_bd0.dat Verzeichnis von C:\DOKUME~1\*****\LOKALE~1\Temp 11.07.2008 17:31 128.342 filelist.txt 11.07.2008 13:21 5.066 3dw86C5x.dat 11.07.2008 13:21 5.066 sCVag7sW.dat 11.07.2008 10:37 16.384 Perflib_Perfdata_28c.dat 10.07.2008 12:02 36 0nh53M2i.dat 10.07.2008 11:40 29.760 orz.exe 09.07.2008 18:10 12.818 control.xml 08.07.2008 17:14 58.368 FE3003 Ramsey Reset Test.doc 08.07.2008 16:52 233.284 MSIa671d.LOG 08.07.2008 16:52 84.992 Empirische Wf-Sehschlange-160404-AndresK.doc 04.07.2008 22:01 0 0a232F.tmp 28.06.2008 01:50 49.152 ~DFAA70.tmp |
|
11.07.2008, 16:48
| #9 |
| > MalwareDB | uEXci4uY.exe kommt immer wieder Ok, bitte lass Combofix laufen. ComboFix
Wichtige Hinweise:
Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
11.07.2008, 16:58
| #10 |
| | uEXci4uY.exe kommt immer wieder Mir macht dieses: "einer von 100 kommt nicht heil durch diesen Prozess" etwas stutzig. Ich hab jetzt auch mal den ie von 6 auf 7 erneuert, da immer neben diesem uEXci4uY.exe auch der iexplore.exe im task auftrat. Wenn ich uEXci4uY.exe beendet hatte, verschwand auch iexplore.exe. |
|
11.07.2008, 17:03
| #11 |
| > MalwareDB | uEXci4uY.exe kommt immer wieder Die Warung ist Ernst zu nehmen, ich selbst habe bislang zwei Systeme gesehen die nach Anwendung von CF nicht mehr liefen. ich würde es hier aber gerne anwenden, da Du nicht nur diese Infektion hast.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
11.07.2008, 17:07
| #12 |
| | uEXci4uY.exe kommt immer wieder ComboFix 08-07-10.1 - Eros Thanatos 2008-07-11 18:00:05.1 - NTFSx86 ausgeführt von:: C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-06-11 bis 2008-07-11 )))))))))))))))))))))))))))))) . 2008-07-11 17:22 . 2008-07-11 17:22 250 --a------ C:\WINDOWS\gmer.ini 2008-07-11 16:00 . 2008-07-11 16:00 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten 2008-07-11 16:00 . 2008-07-11 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\VMNTOOLBAR 2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Malwarebytes 2008-07-11 15:36 . 2008-07-11 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-07-11 15:36 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-07-11 15:36 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-07-11 11:38 . 2008-07-11 11:38 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-07-11 11:38 . 2008-07-11 11:38 1,409 --a------ C:\WINDOWS\QTFont.for 2008-07-10 11:41 . 2008-07-10 11:40 29,760 --a------ C:\WINDOWS\system32\tnHJu1GO.exe 2008-07-04 22:59 . 2008-07-04 22:59 <DIR> d-------- C:\Programme\Haali 2008-07-04 22:58 . 2008-07-04 22:58 <DIR> d-------- C:\Programme\CoreCodec 2008-06-14 17:40 . 2008-06-14 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Smith Micro 2008-06-11 16:04 . 2008-06-11 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-11 16:00 16,608 ----a-w C:\WINDOWS\gdrv.sys 2008-07-11 15:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HDD Thermometer 2008-07-11 15:41 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\vmntoolbar 2008-07-10 19:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\dvdcss 2008-07-07 09:37 --------- d-----w C:\Programme\FlashFXP 2008-07-06 21:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\FileZilla 2008-07-01 21:35 --------- d-----w C:\Programme\Napster 2008-06-30 16:49 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-06-04 22:01 --------- d-----w C:\Programme\EA SPORTS 2008-06-04 16:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters 2008-06-04 15:58 444,952 ----a-w C:\WINDOWS\system32\wrap_oal.dll 2008-06-04 15:58 109,080 ----a-w C:\WINDOWS\system32\OpenAL32.dll 2008-06-04 15:58 --------- d-----w C:\Programme\OpenAL 2008-05-31 05:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FlashFXP 2008-05-31 04:44 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\SiteClasses 2008-05-31 04:42 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Sites 2008-05-31 04:42 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Dynamic 2008-05-31 04:41 --------- d-----w C:\Programme\vmntoolbar 2008-05-21 15:26 --------- d-----w C:\Programme\NVIDIA Corporation 2008-05-21 15:25 --------- d-----w C:\Programme\NVIDIA nTune Performance Application 2008-05-18 21:44 16,760 ----a-w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-05-14 16:30 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Tunebite 2008-05-14 16:11 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\RTPlayer 2008-05-14 15:54 --------- d-----w C:\Dokumente und Einstellungen\Eros Thanatos\Anwendungsdaten\Roxio 2008-05-14 15:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution 2008-05-14 15:11 --------- d-----w C:\Programme\PixiePack Codec Pack 2008-05-14 14:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Napster Shared 2008-05-14 14:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster 2008-05-14 10:20 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2008-05-11 13:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles 2008-05-11 11:56 --------- d-----w C:\Programme\CyberLink 2008-05-11 11:55 505,392 ----a-w C:\WINDOWS\system32\msvcp71.dll 2008-05-06 18:13 353,576 ----a-w C:\WINDOWS\system32\msvcr71.dll 2008-04-28 13:53 805,400 ----a-r C:\WINDOWS\system32\tmp1AA.tmp 2008-04-28 13:53 805,400 ----a-r C:\WINDOWS\system32\tmp1A9.tmp . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "RSD_HDDThermo"="C:\Programme\HDD Thermometer\HDD Thermometer.exe" [2008-04-24 15:17 215040] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 08:36 36864] "36X Raid Configurer"="C:\WINDOWS\system32\xRaidSetup.exe" [2007-08-29 10:55 1966080] "Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-08-30 17:57 2154496] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776] "DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2006-01-18 12:48 1480192] "GEST"="C:\Programme\GIGABYTE\GEST\run.exe" [2007-12-14 11:46 236040] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920] "ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2005-02-17 07:15 221184] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696] "RTHDCPL"="RTHDCPL.EXE" [2007-09-19 12:14 16844800 C:\WINDOWS\RTHDCPL.exe] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.ac3filter"= ac3filter.acm [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 M:\Programme\Adobe 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-03-12 13:49 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] --a------ 2008-04-01 11:39 486856 M:\Programme\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler] --a------ 2005-02-17 07:15 81920 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2008-03-30 10:36 267048 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --------- 2007-03-14 21:01 54832 C:\Programme\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2007-03-09 18:53 153136 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2007-03-14 21:01 71216 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP] --a------ 2006-05-24 20:31 1372160 C:\Programme\TGTSoft\StyleXP\StyleXP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "StyleXPService"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\FileZilla FTP Client\\filezilla.exe"= "C:\\Programme\\GIGABYTE\\@BIOS\\gwflash.exe"= "C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"= "C:\\Programme\\FlashFXP\\FlashFXP.exe"= "M:\\Programme\\TmNationsForever\\TmForever.exe"= R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-09-19 21:37] R2 thdudf;TOSHIBA UDF2.5 Reader File System Driver;C:\WINDOWS\system32\DRIVERS\thdudf.sys [2006-11-11 02:25] R3 CX88xNoIR;Hauppauge WinTV 88x Video;C:\WINDOWS\system32\drivers\hcw88vid.sys [2003-02-03 21:29] R3 GEST Service;GEST Service for program management.;C:\Programme\GIGABYTE\GEST\GSvr.exe [2007-12-14 11:46] R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;C:\WINDOWS\system32\drivers\hcw88tun.sys [2003-02-03 21:29] R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;C:\WINDOWS\system32\drivers\HCW88BAR.sys [2003-02-03 21:29] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3bf32711-04c4-11dd-99ad-001d7d00a162}] \Shell\AutoRun\command - K:\JDSecure\Windows\JDSecure31.exe *Newly Created Service* - CATCHME [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}] C:\Programme\PixiePack Codec Pack\InstallerHelper.exe . Inhalt des "geplante Tasks" Ordners "2008-07-10 22:34:01 C:\WINDOWS\Tasks\At1.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 09:41:19 C:\WINDOWS\Tasks\At10.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 09:41:19 C:\WINDOWS\Tasks\At11.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-11 09:00:01 C:\WINDOWS\Tasks\At12.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-11 10:00:01 C:\WINDOWS\Tasks\At13.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-11 11:00:01 C:\WINDOWS\Tasks\At14.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-11 12:00:01 C:\WINDOWS\Tasks\At15.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-11 13:00:01 C:\WINDOWS\Tasks\At16.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-11 14:00:01 C:\WINDOWS\Tasks\At17.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-11 15:00:01 C:\WINDOWS\Tasks\At18.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-11 16:00:01 C:\WINDOWS\Tasks\At19.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 23:00:01 C:\WINDOWS\Tasks\At2.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 17:00:01 C:\WINDOWS\Tasks\At20.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 18:00:01 C:\WINDOWS\Tasks\At21.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 19:00:01 C:\WINDOWS\Tasks\At22.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 20:00:01 C:\WINDOWS\Tasks\At23.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 21:00:01 C:\WINDOWS\Tasks\At24.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 22:41:00 C:\WINDOWS\Tasks\At25.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 23:00:00 C:\WINDOWS\Tasks\At26.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:55:03 C:\WINDOWS\Tasks\At27.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:55:03 C:\WINDOWS\Tasks\At28.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:55:03 C:\WINDOWS\Tasks\At29.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:41:19 C:\WINDOWS\Tasks\At3.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 09:55:03 C:\WINDOWS\Tasks\At30.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:55:03 C:\WINDOWS\Tasks\At31.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:55:03 C:\WINDOWS\Tasks\At32.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:55:03 C:\WINDOWS\Tasks\At33.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:55:03 C:\WINDOWS\Tasks\At34.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:55:03 C:\WINDOWS\Tasks\At35.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-11 09:00:00 C:\WINDOWS\Tasks\At36.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-11 10:00:00 C:\WINDOWS\Tasks\At37.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-11 11:00:00 C:\WINDOWS\Tasks\At38.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-11 12:00:00 C:\WINDOWS\Tasks\At39.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:41:19 C:\WINDOWS\Tasks\At4.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-11 13:00:00 C:\WINDOWS\Tasks\At40.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-11 14:19:38 C:\WINDOWS\Tasks\At41.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-11 15:01:29 C:\WINDOWS\Tasks\At42.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-11 16:00:00 C:\WINDOWS\Tasks\At43.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 17:00:00 C:\WINDOWS\Tasks\At44.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 18:00:00 C:\WINDOWS\Tasks\At45.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 19:00:00 C:\WINDOWS\Tasks\At46.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 20:00:00 C:\WINDOWS\Tasks\At47.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 21:00:00 C:\WINDOWS\Tasks\At48.job" - C:\WINDOWS\system32\uEXci4uY.exe "2008-07-10 09:41:19 C:\WINDOWS\Tasks\At5.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 09:41:19 C:\WINDOWS\Tasks\At6.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 09:41:19 C:\WINDOWS\Tasks\At7.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 09:41:19 C:\WINDOWS\Tasks\At8.job" - C:\WINDOWS\system32\tnHJu1GO.exe "2008-07-10 09:41:19 C:\WINDOWS\Tasks\At9.job" - C:\WINDOWS\system32\tnHJu1GO.exe . - - - - ORPHANS REMOVED - - - - HKCU-Run-NVIDIA nTune - C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe MSConfigStartUp-avgnt - M:\Programme\AntiVir PersonalEdition Premium\avgnt.exe MSConfigStartUp-InCD - M:\Programme\Ahead Nero\Nero 7\InCD\InCD.exe MSConfigStartUp-SecurDisc - M:\Programme\Ahead Nero\Nero 7\InCD\NBHGui.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-11 18:00:41 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}] "ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl" . Zeit der Fertigstellung: 2008-07-11 18:01:47 ComboFix-quarantined-files.txt 2008-07-11 16:01:37 9 Verzeichnis(se), 34,214,600,704 Bytes frei 11 Verzeichnis(se), 34,305,486,848 Bytes frei 255 --- E O F --- 2008-04-09 13:16:27 |
|
11.07.2008, 17:10
| #13 |
| | uEXci4uY.exe kommt immer wieder Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:09:09, on 11.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\XpertVision\TBPanel.exe C:\Programme\DU Meter\DUMeter.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\HDD Thermometer\HDD Thermometer.exe C:\Programme\GIGABYTE\GEST\GSvr.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Eros Thanatos\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programme\vmntoolbar\vmntoolbar.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\Programme\vmntoolbar\vmntoolbar.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [GEST] "C:\Programme\GIGABYTE\GEST\run.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RSD_HDDThermo] C:\Programme\HDD Thermometer\HDD Thermometer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://M:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file://D:\components\hidinputmonitorx.ocx O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file://D:\components\A9.ocx O16 - DPF: {7030CC6C-1A88-4591-BB5A-651B9F7F0C30} (WMVHDRatingCtrl Class) - file://D:\components\wmvhdrating.ocx O23 - Service: Bonjour-Dienst (Bonjour Service) - Unknown owner - C:\Programme\Bonjour\mDNSResponder.exe (file missing) O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Programme\GIGABYTE\GEST\GSvr.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - M:\Programme\Ahead Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 4777 bytes |
|
11.07.2008, 17:14
| #14 |
| | uEXci4uY.exe kommt immer wieder Welche Infektion hat denn mein pc noch? Mir kommt noch diese exe komisch vor: tnHJu1GO.exe Leider hilft mir google da nicht weiter, da beide exe-dateien anscheinend noch völlig unbekannt sind. Geändert von Eros Thanatos (11.07.2008 um 17:27 Uhr) |
|
11.07.2008, 17:39
| #15 | |
| > MalwareDB | uEXci4uY.exe kommt immer wieder Ok, machen wir weiter. 1. Datei bei Virustotal hochladen 2. Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter])3. Berichte posten - Virustotal Bericht
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
| Themen zu uEXci4uY.exe kommt immer wieder |
| ad-aware, bekannte, bildschirm, erschein, erscheint, exe-datei, firefox, google, immer wieder, kommt immer wieder, leute, löschen, nichts, plötzlich, problem, seite, spiel, starte, startet, tagen, taskma, taskmanager, unbekannte, vorgehen, vorne |
Linear-Darstellung
