abexi.exe führt zum Absturz bei Firefox

[Blackbeatz]

Hallo,

ich habe heute mein Pc ganz normal nach der Arbeit angeschaltet und wollt wie´s üblich ist auf CB vorbei schauen.
Daraus wurde nichts.

Firefox gestartet und nichts ging. Abgesicherter Modus wollte Firefox, dies wurde gemacht, führte nur zu nichts.
Dann habe ich den Task-Manager geöffnet und sehe gleich ganz oben bei Prozesse die "abexi.exe" und grinst mich an.
Prozess beendet und nun läuft alles wieder.

Nur nach einem Neustart ist sie wieder da -.-
Was hat es mit der "abexi.exe" auf sich? Wie bekomme ich die weg?

Info: Firefox 19, Windows 7 Enterprise

 

[Tigerass 2.0]

Findet man nicht viel, wenn sie unter C:\Users\DEINNAME\AppData\Roaming\abexi.exe ist, ist es ein Schadprogramm. Und sonst tippe ich auch zu 95% drauf.

Könnte BKA sein. Lösche mal nicht bekannte Verknüpfungen im Autostart, also Start -> Alle Programme -> Autostart.
Wenn dein FF nicht mehr geht, kann es sein, dass es Versucht dieses zu manipulieren. Also vorsicht wo und mit welchem PW du dich einloggst. va. bei Banking und shopping. Weißte ja

LG Tigerass

 

[Ikebana]

Vielleicht hilft das dir:

Link

 

[Blackbeatz]

Danke,
aber bei Appdata/Roaming ist leider nichts zu finden. War ja klar -.-

@[s.i.d.f.]
auch danke, dies habe ich leider schon gemacht, leider ohne Erfolg.

Ich werde jetzt wohl eine Bootcd brennen und mal schauen was die so findet.

 

[purzelbär]

Hol dir mal Malwarebytes Free und mach damit einen Komplett Scan um zu sehen ob der was findet und wenn ja was. Malwarebytes ist stark bei sog. Ransomsoftware und neuartiger Malware wie Trojaner usw.

 

[emlyn d.]

hallo,
bitte poste auch mal ein dds-log(https://www.computerbase.de/forum/t...cht-infektion-vor-dem-posten-beachten.741157/).

 

[Blackbeatz]

@purzelbär: Bin dabei

@emlyn d.: Ist angehängt

 

[Tigerass 2.0]

Im Taskmanager kann man doch schauen wo sich die Datei befindet. Und das mit der BootCD Ist ne gute Idee. Achja und wenn du die abexi.exe irgendwie isolieren kannst wäre es nett du würdest sie mir per pm oder so schicken. In nem Zip mit pw am besten. Ich brauche zz. Beispiele für schlecht programmierte Malware xD

schmeiß ask runter
in dem Log finde ich außer ein bisschen Müll nichts verdächtiges.

LG Tigerass

 

[Blackbeatz]

Okay, das mit dem Taskmanager nachschauen war mir unbekannt. Werd ich machen, mal sehn wo das drecks Biest hängt.
Falls ich es finden werde bekommst du´s natürlich xD

Edit: Was heißt Müll?
Wenn ich den log mache, muss der Prozess laufen?

 

[Tigerass 2.0]

Zeug, dass nicht bei jedem Systemstart geladen werden muss. Und sachen wie z.B. die Ask-Toolbar.

Im Taskmanager Rechtsklick auf den Prozess und dann Dateipfad anzeigen oder Eigenschaften, was du willst.
Dann hätte man den Pfad eventuell direkt sehen können, wäre minimal praktischer gewesen. Aber du kannst auch einfach manuell nachschauen.

LG Tigerass

 

[Blackbeatz]

Jungs, ich habs gefunden. Ist ne ganz normale .exe

Wie bekomme ich die nun komplett weg? Einfach in den Papierkorb machen reicht wohl nicht oder?
Tigerass 2.0, du bekommst sie natürlich

 

[emlyn d.]

hallo,
das

2013-02-25 23:32:21 -------- d-----w- C:\Users\Patrick\AppData\Roaming\Viummy
2013-02-25 23:32:21 -------- d-----w- C:\Users\Patrick\AppData\Roaming\Siytz
2013-02-25 23:32:21 -------- d-----w- C:\Users\Patrick\AppData\Roaming\Feof

ist zbot.
ich empfehle den sauberen neuanfang.

 

[purzelbär]

@Blackbeatz
Warte mal ab ob die auch von Malwarebytes gefunden wird. Wenn ja kannst du die damit löschen. Wenn nein, also wenn Malwarebytes die nicht findet, du die aber löschen willst, kannst du das mal mit Unlocker(evtl. im Abgesicherten Modus)probieren.

 

[Blackbeatz]

Na super -.-
Also win neu machen und alle pw´s ändern

@Purzelbär
Trotz SSD drin dauerts noch...
Könnte ich die auch mit einer Live Linux zb. Fedora löschen?

http://www.filedropper.com/abexi
pw: 123

In dem Ordner: C:\Users\Patrick\AppData\Roaming\Viummy ist eine Datei namens: "kuroa.goa" drin.
Der Ordner: C:\Users\Patrick\AppData\Roaming\Feof ist leer.

 

[Tigerass 2.0]

Zbot würde auf jedenfall mal in das Bild des nicht funktionierenden Browsers passen.
Sieht (sehr) verdächtig aus, aber warum bist du dir so sicher das es zbot ist?

PW ändern ist glaub nicht nötig, zbot ist nur auf Bankdaten aus.
Lade mal die exe auf filedropper.com hoch. Danke

LG Tigerass

 

[Blackbeatz]

Malwarebytes hat nichts gefunden. Ich habe die Datei nun per Unlocker gelöscht.
Werde mal ein Neustart machen.

@Tigerass 2.0: Konntest du schon was damit anfangen?

Update: Neustarten hat geklappt, "abexi.exe" startet nicht mit bei Prozesse. Firefox geht nun auch wieder einwandfrei.
Ich danke erst mal allen für die Hilfe

Wie geh ich weiter vor?

 

[emlyn d.]

@Blackbeatz
Warte mal ab ob die auch von Malwarebytes gefunden wird. Wenn ja kannst du die damit löschen. Wenn nein, also wenn Malwarebytes die nicht findet, du die aber löschen willst, kannst du das mal mit Unlocker(evtl. im Abgesicherten Modus)probieren.

ändert an der kompromittierung aber nichts.

Na super -.-
Also win neu machen und alle pw´s ändern

ja.

Sieht (sehr) verdächtig aus, aber warum bist du dir so sicher das es zbot ist?

die von mir zitierten sind die typischen "random"-ordner, die von zbot angelegt werden, kuroa.goa passt auch ins strickmuster.
im übrigen bestätigt kaspersky meine einschätzung:
https://www.virustotal.com/de/file/...57c62105e9c9127714e1094e/analysis/1361912143/

PW ändern ist glaub nicht nötig, zbot ist nur auf Bankdaten aus.

falsch, siehe z.b. hier:
http://en.wikipedia.org/wiki/Zeus_(Trojan_horse)#Targeted_information

 

[Blackbeatz]

Okay emlyn d., danke für die Info.
Dann werde ich wohl Win neu aufspielen, geht ja schnell
Passwörter werde ich auch noch ändern.

 

[Tigerass 2.0]

Die Datei ist gecrypted, und ich habe keine Lust das zu decrypten. Sie beendet sich bei mir wenn ich sie starte ohne Spuren zu hinterlassen. Aus dem Disassembly schließe ich, dass sie sich beendet wenn sie keinen Zugriff auf HKEY_LOCAL_MACHINE hat und noch auß ein paar mir unerschließlichen gründen. Im Hauptprogramm lädt sie dann die VirtualAlloc Funktion nach, weshalb auch immer. (Verwendet um in fremde Prozesse zu schreiben)

v4 = LoadLibraryA("kernel32.dll");
v18 = GetProcAddress(v4, "VirtualAlloc");

Was sinnlos ist, da sie sowieso schon in der Import-liste steht.??
Sie schreibt außerdem verschiedene Dateien. Ich habe nicht Zeit für mehr Analyse, der Hauptteil steht sowieso im Gecryptetem Part. Sie Ändert noch ihr Error-handeling und die Reihenfolge wann sie beim PC-shutdown beendet wird. Ist wahrscheinlich in C++ programmiert mit visual studio und es fällt mir deshalb auch sehr schwer im asm und dem erzeugtem c-code klar zu lesen.

Ist nicht schlecht programmiert, sehr kompakt und obfuscated. Derjenige hatte schon Ahnung und wohl ein Random-Generator-Fetisch

Das beste ist echt reinstallieren, dann läuft die Kiste auch wieder mal schnell.

LG Tigerass