|
Ufozua.exe, Ucl.exe, Uck.exe, Ucj.exe Hallo zusammen, habe heute vier echt neckische datein auf meinem PC gefunden, das lustige ich kann Sie entfernen… Lustiger ist jedoch das diese nach etwa 1 minute wieder da sind. Die datein schreiben sich alle einmal in die \AppData\Local\Temp und in die \Windows\System32 der name der Dateien ist Ufozua.exe, Ucl.exe, Uck.exe, Ucj.exe Die datein habe ich mal mit einem hex editor und mit einem resourse editor aufgemacht, bin ja auch neugirieg was da so passiert auf meinem rechner…. Nun die Frage, die Dateien laden im Hintergrund irgendwelche Website die dann in einem popup auf dem destop geöffnet werden. <?xml version="1.0" encoding="UTF-8" standalone="yes"?> <assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> <assemblyIdentity version="1.0.0.0" processorArchitecture="X86" name="UAC" type="win32"/> <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3"> <security> <requestedPrivileges> <requestedExecutionLevel level="highestAvailable"/> </requestedPrivileges> </security> </trustInfo> </assembly> Nur mir scheint da noch eine datei zu fehlen, den schlau werde ich nicht wo die letztändlich die Infos für das einlesen heziehn… Habt ihr mit den datein erfahrung gemacht? Oder hatte jemand auch die datein auf seinem rechner? Achso, das erste mal aktiv geworden sind die datein nach dem ich den ie geöffnet habe. Mich würde nun int. Wie ich alle Dateien finde die da dazu gehören? Und wie ich Sie letztendlich entfernen kann… |
ok wir werden die dateien entfernen, einsammeln und an antimalware hersteller einsenden. Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board