Wer kennt die Datei UCILONY.EXE ?

Entlauber

Lieutenant
Dabei seit
Sep. 2002
Beiträge
672
Tag zusammen,

wie die Überschrift schon sagt, wer kennt diese Datei und kann was dazu sagen ?
Sie liegt bei mir im WINNT/System32 Verzeichnis. Mein OS ist Win2K SP4 mit allen Patches.

Die Datei steht für mich unter dringendem Tatverdacht, irgend eine Art Virus oder Trojaner zu sein. Jedenfalls findet die Echtzeitsuche von meinem Scanner (Trend Micro Internet Security 12, Virendef von heute) alle 2, 3 Stunden nen Trojaner, wenn ich die Platte absuche findet es allerdings null,garnix.
Ad Aware und Stinger sind ebenfalls ohne Meldung durchgelaufen.
Zwischenzeitlich habe ich die Firewall auf hochsensibel gestellt, weil mein Rechner MB um MB sendet obwohl ich weder surfe noch downloade. Das fällt mit nem 56k Modem schon auf...
Die Firewall hat passend dazu permanent gefragt, ob besagte UCILONY.EXE per TCP auf die IP 63.246.146.95, Port 5471 zugreifen darf.
Google findet zu der Datei absolut garnix, und das ist für mich schon fast unglaublich :freak:

Ich bin also für jeden sachdienlichen Hinweis dankbar!

Grüße
Night Prowler


/EDIT:
Einer der Trojaner den TM findet hört auf den Namen "kubogahi.exe". Der wird auch immer schön gefunden und unter Quarantäne gestellt.

/EDIT2:
Konnte mittlerweile 2 Viren/Trojaner identifizieren, einmal SDBOT.AVH und zum zweiten MULTDROP.AK.
Auch dazu geht google mit Infos sehr sparsam um... Allein der Name "Multdrop" (ja ohne i) macht allerdings net grad Hoffnung..
 
Zuletzt bearbeitet:
F

Fiona

Gast
Schaue mal bei Dienste (Start / Ausführen / services.msc )
ob dort die Datei UCILONY.EXE als Dienst gelistet ist und wenn nötig beende ihn (kannst du auch auf deaktiviert setzen).

Notiere dir den Namen.

Lade dir dann;
delsrv.exe (delete Services) von Microsoft.
Gibt es hier;
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/delsrv-o.asp
Oder von hier mit Anleitung;
http://www.newagetec.com/download/system.htm

Versuche damit den Dienst (Service) zu löschen.

Neustart und überprüfen.



Vielleicht hilfts

Gruß

Fiona
 

Entlauber

Lieutenant
Ersteller dieses Themas
Dabei seit
Sep. 2002
Beiträge
672
Hi,

zunächst Danke für deine Tipps. Leider ist kein solcher Service aufgelistet.
Allerdings laufen im Taskmanager mindestens 5 Prozesse die mir sehr verdächtig vorkommen.
3 davon konnte ich beenden, die andern widersetzen sich bisher allen Versuchen.
Die Prozesse heissen harydegi.exe und eben ucilonyc.exe.

Zumindest hat mein Rechner aufgehört, wild mit Daten um sich zu senden.
 
F

Fiona

Gast
Ja gut das weiß man nie.
Manchmal können die auch unter Dienste einen anderen Namen haben.

Lade dir mal den Processexplorer von www.sysinternals.com .
Markiere mal die Prozesse und versuche die bei Process / Kill Process oder besser Kill Process Tree zu beenden.
Lösche dann jeweils die Dateien.

Gehe dann in die Registrierung (Start / Ausführen / regedit)
Gib den jeweiligen Namen unter Bearbeiten / Suchen.. ein.
Versuche jeweils den Schlüssel (Key) im linken Fenster komplett in Bezug auf die Dateien harydegi.exe und ucilonyc.exe zu löschen.
Oft hat man keine Rechte dies zu tun.
Versuche es dann mit Rechtsklick auf Key und Berechtigungen.
Setze dort bei deinem Konto mit Adminrechten bei Zulassen überall den Haken.
Versuche erneut zu löschen.

Wenn es mit Processexplorer nicht möglich sein sollte die Prozesse abzuschalten kannst du folgendes probieren;

Start / Ausführen / msconfig

Beende alles bei Systemstart.
Weiter auf Reiter Dienste.
Bei Microsoft Dienste ausblenden Haken reinmachen sonst startet Windows nicht richtig.
Den Rest auch deaktivieren.

Neustart im abgesicherten Modus und erneut versuchen.

Viele Grüße

Fiona
 

Entlauber

Lieutenant
Ersteller dieses Themas
Dabei seit
Sep. 2002
Beiträge
672
Hallo,

komme grad ausm abgesicherten Modus (da hatten wir die gleiche Idee).
Die beiden letzten Tasks bin ich da zumindest für den Moment losgeworden. Mein lieblings-Win98/ME/XP Tool MsConfig gibts bei 2k leider net und eine der Alternativen hab ich momentan nicht drauf, hole ich aber nach.

Jetzt zieh ich mir den Processexplorer, dem Frieden trau ich net.

Danke für deine Hilfe.

/EDIT:
Achso, anukem.exe gehört anscheinend auch zu dem munteren Paket daß sich auf meinem Rechner eingenistet hat. Auch dazu schweigt google. Ohne angeberisch zu wirken, aber wurde dieses Ding nur für mich programmiert wenn kein Antivirenhersteller das Teil kennt ? :D
 
Zuletzt bearbeitet:

Entlauber

Lieutenant
Ersteller dieses Themas
Dabei seit
Sep. 2002
Beiträge
672
Sehr schön, danke.

Mittlerweile ist noch die Datei windrive32.exe dazu gekommen.
Es nimmt kein Ende, ich denke ich werde morgen neu installiern.
 

Ähnliche Themen

Antworten
21
Aufrufe
154.564
F
Leserartikel Der stabile PC
Antworten
3
Aufrufe
23.814
Freak-X
F
Top