abexi.exe führt zum Absturz bei Firefox

Blackbeatz

Cadet 4th Year
Dabei seit
Okt. 2006
Beiträge
126
Hallo,

ich habe heute mein Pc ganz normal nach der Arbeit angeschaltet und wollt wie´s üblich ist auf CB vorbei schauen.
Daraus wurde nichts.

Firefox gestartet und nichts ging. Abgesicherter Modus wollte Firefox, dies wurde gemacht, führte nur zu nichts.
Dann habe ich den Task-Manager geöffnet und sehe gleich ganz oben bei Prozesse die "abexi.exe" und grinst mich an.
Prozess beendet und nun läuft alles wieder.

Nur nach einem Neustart ist sie wieder da -.-
Was hat es mit der "abexi.exe" auf sich? Wie bekomme ich die weg?

Info: Firefox 19, Windows 7 Enterprise
 
Zuletzt bearbeitet:
T

Tigerass 2.0

Gast
Findet man nicht viel, wenn sie unter C:\Users\DEINNAME\AppData\Roaming\abexi.exe ist, ist es ein Schadprogramm. Und sonst tippe ich auch zu 95% drauf. :D

Könnte BKA sein. Lösche mal nicht bekannte Verknüpfungen im Autostart, also Start -> Alle Programme -> Autostart.
Wenn dein FF nicht mehr geht, kann es sein, dass es Versucht dieses zu manipulieren. Also vorsicht wo und mit welchem PW du dich einloggst. va. bei Banking und shopping. Weißte ja :D

LG Tigerass
 

Blackbeatz

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
126
Danke,
aber bei Appdata/Roaming ist leider nichts zu finden. War ja klar -.-

@[s.i.d.f.]
auch danke, dies habe ich leider schon gemacht, leider ohne Erfolg.

Ich werde jetzt wohl eine Bootcd brennen und mal schauen was die so findet.
 
T

Tigerass 2.0

Gast
Im Taskmanager kann man doch schauen wo sich die Datei befindet. Und das mit der BootCD Ist ne gute Idee. Achja und wenn du die abexi.exe irgendwie isolieren kannst wäre es nett du würdest sie mir per pm oder so schicken. In nem Zip mit pw am besten. Ich brauche zz. Beispiele für schlecht programmierte Malware xD

schmeiß ask runter
in dem Log finde ich außer ein bisschen Müll nichts verdächtiges.

LG Tigerass
 
Zuletzt bearbeitet:

Blackbeatz

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
126
Okay, das mit dem Taskmanager nachschauen war mir unbekannt. Werd ich machen, mal sehn wo das drecks Biest hängt.
Falls ich es finden werde bekommst du´s natürlich xD

Edit: Was heißt Müll?
Wenn ich den log mache, muss der Prozess laufen?
 
T

Tigerass 2.0

Gast
Zeug, dass nicht bei jedem Systemstart geladen werden muss. Und sachen wie z.B. die Ask-Toolbar.

Im Taskmanager Rechtsklick auf den Prozess und dann Dateipfad anzeigen oder Eigenschaften, was du willst. :)
Dann hätte man den Pfad eventuell direkt sehen können, wäre minimal praktischer gewesen. Aber du kannst auch einfach manuell nachschauen.

LG Tigerass
 

Blackbeatz

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
126
Jungs, ich habs gefunden. Ist ne ganz normale .exe

Wie bekomme ich die nun komplett weg? Einfach in den Papierkorb machen reicht wohl nicht oder?
Tigerass 2.0, du bekommst sie natürlich
 

emlyn d.

Lieutenant
Dabei seit
Mai 2010
Beiträge
554
hallo,
das

2013-02-25 23:32:21 -------- d-----w- C:\Users\Patrick\AppData\Roaming\Viummy
2013-02-25 23:32:21 -------- d-----w- C:\Users\Patrick\AppData\Roaming\Siytz
2013-02-25 23:32:21 -------- d-----w- C:\Users\Patrick\AppData\Roaming\Feof

ist zbot.
ich empfehle den sauberen neuanfang.
 

purzelbär

Admiral
Dabei seit
Feb. 2012
Beiträge
7.354
@Blackbeatz
Warte mal ab ob die auch von Malwarebytes gefunden wird. Wenn ja kannst du die damit löschen. Wenn nein, also wenn Malwarebytes die nicht findet, du die aber löschen willst, kannst du das mal mit Unlocker(evtl. im Abgesicherten Modus)probieren.
 

Blackbeatz

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
126
Na super -.-
Also win neu machen und alle pw´s ändern

@Purzelbär
Trotz SSD drin dauerts noch...
Könnte ich die auch mit einer Live Linux zb. Fedora löschen?

http://www.filedropper.com/abexi
pw: 123

In dem Ordner: C:\Users\Patrick\AppData\Roaming\Viummy ist eine Datei namens: "kuroa.goa" drin.
Der Ordner: C:\Users\Patrick\AppData\Roaming\Feof ist leer.
 
Zuletzt bearbeitet:
T

Tigerass 2.0

Gast
Zbot würde auf jedenfall mal in das Bild des nicht funktionierenden Browsers passen.
Sieht (sehr) verdächtig aus, aber warum bist du dir so sicher das es zbot ist?

PW ändern ist glaub nicht nötig, zbot ist nur auf Bankdaten aus.
Lade mal die exe auf filedropper.com hoch. Danke :)

LG Tigerass
 
Zuletzt bearbeitet:

Blackbeatz

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
126
Malwarebytes hat nichts gefunden. Ich habe die Datei nun per Unlocker gelöscht.
Werde mal ein Neustart machen.

@Tigerass 2.0: Konntest du schon was damit anfangen?

Update: Neustarten hat geklappt, "abexi.exe" startet nicht mit bei Prozesse. Firefox geht nun auch wieder einwandfrei.
Ich danke erst mal allen für die Hilfe :)

Wie geh ich weiter vor?
 
Zuletzt bearbeitet:

emlyn d.

Lieutenant
Dabei seit
Mai 2010
Beiträge
554
@Blackbeatz
Warte mal ab ob die auch von Malwarebytes gefunden wird. Wenn ja kannst du die damit löschen. Wenn nein, also wenn Malwarebytes die nicht findet, du die aber löschen willst, kannst du das mal mit Unlocker(evtl. im Abgesicherten Modus)probieren.
ändert an der kompromittierung aber nichts.
Na super -.-
Also win neu machen und alle pw´s ändern
ja.
Sieht (sehr) verdächtig aus, aber warum bist du dir so sicher das es zbot ist?
die von mir zitierten sind die typischen "random"-ordner, die von zbot angelegt werden, kuroa.goa passt auch ins strickmuster.
im übrigen bestätigt kaspersky meine einschätzung:
https://www.virustotal.com/de/file/75d45f22f9ab94bd67072874cbf402e4072b07fa57c62105e9c9127714e1094e/analysis/1361912143/
PW ändern ist glaub nicht nötig, zbot ist nur auf Bankdaten aus.
falsch, siehe z.b. hier:
http://en.wikipedia.org/wiki/Zeus_(Trojan_horse)#Targeted_information
 

Blackbeatz

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
126
Okay emlyn d., danke für die Info.
Dann werde ich wohl Win neu aufspielen, geht ja schnell :p
Passwörter werde ich auch noch ändern.
 
T

Tigerass 2.0

Gast
Die Datei ist gecrypted, und ich habe keine Lust das zu decrypten. Sie beendet sich bei mir wenn ich sie starte ohne Spuren zu hinterlassen. Aus dem Disassembly schließe ich, dass sie sich beendet wenn sie keinen Zugriff auf HKEY_LOCAL_MACHINE hat und noch auß ein paar mir unerschließlichen gründen. Im Hauptprogramm lädt sie dann die VirtualAlloc Funktion nach, weshalb auch immer. (Verwendet um in fremde Prozesse zu schreiben)
Code:
v4 = LoadLibraryA("kernel32.dll");
v18 = GetProcAddress(v4, "VirtualAlloc");
Was sinnlos ist, da sie sowieso schon in der Import-liste steht.??
Sie schreibt außerdem verschiedene Dateien. Ich habe nicht Zeit für mehr Analyse, der Hauptteil steht sowieso im Gecryptetem Part. Sie Ändert noch ihr Error-handeling und die Reihenfolge wann sie beim PC-shutdown beendet wird. Ist wahrscheinlich in C++ programmiert mit visual studio und es fällt mir deshalb auch sehr schwer im asm und dem erzeugtem c-code klar zu lesen.

Ist nicht schlecht programmiert, sehr kompakt und obfuscated. Derjenige hatte schon Ahnung :) und wohl ein Random-Generator-Fetisch :D

Das beste ist echt reinstallieren, dann läuft die Kiste auch wieder mal schnell.

LG Tigerass
 
Top