Mysteriöse oqjntyu.exe - Löschen nicht möglich , blockiert Benutzerkonten

Bei mir ist im Windows/system32 ordner eine Datei namen oqjntyu.exe aufgetaucht.
Diese Datei lässt sich nicht löschen,verschieben oder umbennen,
auch nicht im abgesicherten Modus oder mit Hilfe der PC-Welt Notfall DVD aus Heft 2/09.

Eine Suche bei Google nach dieser Datei ergab genau 0 Treffer.

Gestoßen bin ich auf diese Datei weil ein Benutzerkonto (eingeschränkt) auf einmal nicht mehr startete.
Es erscheint nur das Hintergrundbild,keine Icons ,keine Taskleiste.
Aber der Taskmanager ließ sich noch starten.
Dort konnte ich dann unter Prozesse sehen das diese oqjntyu.exe das System zu mehr als 50% auslastet.
Mein Administratorkonto läuft komischerweise einwandfrei.

Nach vergeblichen Versuchen diese Datei zu entfernen ,habe ich 2 neue eingeschränkte Konten angelegt.
Mit dem selben Effekt, es erscheint nur der Hintergrund und die oqjntyu.exe blockiert das System.

Ein Scan mit Antivir ergab nur eine Warnung ,das die Datei oqjntyu.exe
nicht geöffnet werden konnte.

Als letzten Ausweg habe ich dann das eingeschränkte Konto zum Administrator gemacht,und siehe da es funktioniert.
Nach Rückstellen auf eingeschränkt funktioniert es auch weiterhin.
Von der oqjntyu.exe in den Prozessen ist nichts mehr zu sehen.

Was vielleicht noch ganz interessant ist: Im Prefetch Ordner gibt es oqjntyu.pf.
Diese konnte ich löschen ,was jedoch zur Folge hatte das im system32 eine oqjntyu.ink auftauchte
die sich nun wiederum auch nicht mehr löschen lässt.

Irgend wer eine Idee was das ist und wie ich diese Dateien wieder los werde ??

 

Hallo Warp9

Lass die Datei mal online unter http://www.virustotal.com/de/ oder http://virusscan.jotti.org/de/ untersuchen und poste die Ergebnisse.

Gruß
Nevok

 

Leider ist die Formatierung etwas verloren gegangen,ich hoffe man wird trotzdem draus schlau.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.05.18 -
AhnLab-V3 5.0.0.2 2009.05.18 -
AntiVir 7.9.0.168 2009.05.18 -
Antiy-AVL 2.0.3.1 2009.05.18 -
Authentium 5.1.2.4 2009.05.18 -
Avast 4.8.1335.0 2009.05.18 -
AVG 8.5.0.336 2009.05.18 -
BitDefender 7.2 2009.05.18 -
CAT-QuickHeal 10.00 2009.05.15 -
ClamAV 0.94.1 2009.05.18 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.18 -
eSafe 7.0.17.0 2009.05.18 Suspicious File
eTrust-Vet 31.6.6509 2009.05.18 -
F-Prot 4.4.4.56 2009.05.18 -
F-Secure 8.0.14470.0 2009.05.18 -
Fortinet 3.117.0.0 2009.05.18 -
GData 19 2009.05.18 -
Ikarus T3.1.1.49.0 2009.05.18 -
K7AntiVirus 7.10.737 2009.05.16 -
Kaspersky 7.0.0.125 2009.05.18 -
McAfee 5619 2009.05.18 -
McAfee+Artemis 5619 2009.05.18 -
McAfee-GW-Edition 6.7.6 2009.05.18 -
Microsoft 1.4602 2009.05.18 -
NOD32 4084 2009.05.18 -
Norman 6.01.05 2009.05.16 -
nProtect 2009.1.8.0 2009.05.18 -
Panda 10.0.0.14 2009.05.18 -
PCTools 4.4.2.0 2009.05.18 -
Prevx 3.0 2009.05.18 -
Rising 21.30.04.00 2009.05.18 -
Sophos 4.41.0 2009.05.18 -
Sunbelt 3.2.1858.2 2009.05.18 -
Symantec 1.4.4.12 2009.05.18 -
TheHacker 6.3.4.1.326 2009.05.18 -
TrendMicro 8.950.0.1092 2009.05.18 -
VBA32 3.12.10.5 2009.05.18 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2009.5.18.1739 2009.05.18 -
VirusBuster 4.6.5.0 2009.05.18 -

weitere Informationen
File size: 27377 bytes
MD5...: acf9c159e15545425943efc4631591bd
SHA1..: 8760243e11c8519028edf9b9deb9ff1eb9c0cd68
SHA256: c45ca21b156e3ee0f1de1ce0fb3270a119c7b56215d5c6e97ba9a8eb8b3fd131
SHA512: 8d8e189f6b05784b121acb9ce14acd27d77dbe9fb66b85160f0deef45f044b92
30f6be814223436b386b43cc5429a793c4c41f072244119d86a22e0ba2b7712d
ssdeep: 384:2lir8vLVo/3IG0N8ZS3vLlrIedQ9xCBt0znYuef6mZ4OI1/AjnnY1Bf3cYCy
VcLQ:2gIvJo8uEfq59PnY/lnQdcY51SbI
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x226a
timedatestamp.....: 0x47d204f3 (Sat Mar 08 03:16:03 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x156a 0x1600 7.74 1d53120e02e9d3d653ff55afcd771358
.rdata 0x3000 0x48d5 0x4a00 7.86 361d675d490dc6636fb68d0dbae301e2
.data 0x8000 0x185b3 0x600 6.66 85c33118f46543b1a846821fcf451bcf

( 3 imports )
> ntdll.dll: RtlClearBits, RtlEraseUnicodeString, NtSetDefaultHardErrorPort, ZwSetInformationObject, NtShutdownSystem, ZwOpenSymbolicLinkObject, RtlUniform, CsrIdentifyAlertableThread
> KERNEL32.dll: GetCurrentThreadId, GetModuleHandleA, lstrcpynA, Sleep, GetSystemTimeAsFileTime, FormatMessageA, GetTickCount, GetCommandLineA, GetLastError, ExitProcess, SetConsoleInputExeNameW, _lread, EnumCalendarInfoExW
> MSVCRT.dll: wcschr, strcat, _splitpath

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set

 

Nur 2 Programme melden etwas, aber nichts konkretes. Bei mir gibt es diese ominöse Datei nicht im besagtem Verzeichnis. Versuch mal die Datei mit dem Programm HijackThis über "Misc Tools - delete file on reboot" zu löschen:

http://members.linzag.net/680262/HJT/HijackThis.html#Delete

Gruß
Nevok

 

Haha erwischt

Der Tipp war super , hijackthis hat den Übeltäter beseitigt

Danke Nevok für die schnelle Hilfe