System-Prozess (UMTCDTW.SYS) macht sich selbstständig

  • Problem

  • Butcha
  • 1704 Aufrufe 10 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • System-Prozess (UMTCDTW.SYS) macht sich selbstständig

    howdy gemeinde!

    sorry für die länge des textes!

    vor 2 oder 3 tagen ist es mir das erste mal aufgefallen. doch da dachte ich noch ich hab was übersehen. doch die vorfälle häufen sich:
    gelegentlich, wenn ich im internet surfe sind plötzlich, ohne vorwarnung stimmen zu hören (und nein, die bilde ich mir nicht ein^^). es klingt immer ähnlich. es scheint, als würde mein rechner eine art unsichtbares popup öffnen, wo amerikanische nachrichten (tv oder radio) durchgesagt werden.
    wie gesagt: man sieht kein popup, es befindet sich in keinem geöffneten tab ein werbe-fenster, was die stimmen erzeugen könnte, etc....

    ich nutze den firefox 3.0.6 mit Adblock Plus plugin (mehrere filter-abos). EINE vermutung war, dass adblock die popups grafisch blockt, aber nicht den ton?!
    später erkannte ich im taskmanager einen prozess, den ich sonst noch nie da gesehn hab (und ich hab den taskmanager tagtäglich auf, weiß also was da normal ist und was nicht). dort gab es einen prozess namens "umtcdtw.sys". der erscheint mir merkwürdig. ich schließe ihn also waghalsig und siehe da: es funktioniert. die stimmen enden abrupt. seltsam, dass sich ein .sys-prozess einfach so terminieren lässt, oder??

    die vermutung, dass firefox es verursacht ist also dahin. doch das lustige: sowohl wenn ich den prozess kille, als auch wenn ich firefox schließe (unabhängig voneinander), endet dieser "stream".

    wollt die datei nicht gleich löschen. könnt ja doch wichtig sein. google sagt: lächerliche 38 ergebnisse. an erster stelle:

    1.
    UMTCDTW.SYS, Prevx
    - [ Diese Seite übersetzen ]
    UMTCDTW.SYS, Prevx. Removal of Malware. Information about UMTCDTW.SYS.
    UMTCDTW.SYS, Prevx - 6k


    das ist wohl eine firma, die antiviren-tools fabriziert. dort wird behauptet, dass die datei gefährlich ist und mein problem wird teilweise schildert:


    File Behavior
    UMTCDTW.SYS has been seen to perform the following behavior:

    * Looks at the contents of the autoexec.bat file
    * Reads email address and phone book details
    * Includes file creation code which could be used to test for interception by security products
    * Opens browser pop ups
    * Uses hidden browser windows to connect to web sites without telling you

    UMTCDTW.SYS has been the subject of the following behavior:

    * Executed as a Process
    * Registered as a Dynamic Link Library File
    * Created as a process on disk
    * Deleted as a process from disk




    ich hab die datei bei diversen seiten hochgeladen, die mit mehreren antiviren-progs testen. ergebnis durchweg negativ. kein fall eines befalls. allerdings sagt die anti-viren-tante von prevx (auch auf diesen sammel-seiten), dass eine gefährdung vorliegt.

    weitere vermutung: die haben den virus selbst gemacht! soll ja heutzutage nix unübliches mehr sein....

    antivirenprogramm: bitdefender free edition v10
    firewall, etc: comodo 3.8
    system: xp, sp3
    speicherort der datei: C:\windows\system32

    was tun? soll ich versuchen die datei im abgesicherten modus zu löschen?
    ich find sonst nirgendwo etwas zur verwendung der datei bzw deren nutzen...
    hoffe auf hilfreiche tipps! im prinzip stört es ja nicht, aber es kann ja noch mehr dahinter stecken. wer weiß, was da alles ausspioniert wird...

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Butcha ()

  • Lass mal einen Hijack This Scan durchlaufen und poste das Ergebnis hier. Das Programm erkennt ja auch schädliche Prozesse und solche Sachen.
    Eventuell bringt das uns etwas weiter ;)

    Ich glaube, dass du die Datei löschen kannst. Wäre sie wichtig, hätten auch viele andere bereits im Net gefragt und eine Antwort erhalten. Da dies aber nicht so ist, lösch sie einfach. Es könnte aber auch noch anderes auf deinem Rechner sein. Also lass mal durchlaufen!

    Greets Phili 0815
  • Also ganz komisch finde ich dabei,das sich die Tante hier auf der Hompage,so gut auskennt mit diesem Virus.
    UMTCDTW.SYS, Prevx

    Die wollen doch nur das man Ihr Programm runterlädt um diesen "Virus" zu beseitigen.
    Das riecht sehr nach abzocke.

    An Deiner stelle würde ich erstmal Kaspersky und Adaware im Abgesicherten Modus laufen lassen.
    Danach mit Hijackthis nochmal kontrollieren ob noch was da ist.


    Dann hab ich hier bei Norton was gefunden.
    safeweb.norton.com/report/show?name=xtra.ca

    Dieser xtra.ca benutzt diesen umtcdtw.sys Prozess.
    Warst Du schonmal auf der Seite xtra.ca?



    Greetz
    [COLOR="Blue"][SIZE="3"]Das Problem ist nicht der Computer,das Problem sitzt davor.[/SIZE][/color]

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Firecat ()

  • nein, auf so ner seite war ich nie.
    ich werd die datei erstmal umbenennen. das wurde mir in nem anderern forum empfohlen. wenn nix passiert, lösch ich sie.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:07:20, on 27.02.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    E:\Programme\Comodo\Firewall\cmdagent.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    E:\Programme\Java\jre6\bin\jqs.exe
    E:\Programme\Logitech\iTouch\iTouch.exe
    E:\Programme\BitDefender10\bdmcon.exe
    E:\Programme\BitDefender10\bdagent.exe
    E:\Programme\Comodo\Firewall\cfp.exe
    E:\Programme\Java\jre6\bin\jusched.exe
    E:\Programme\DAEMON Tools Lite\daemon.exe
    E:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\WINDOWS\System32\TUProgSt.exe
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
    C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
    C:\WINDOWS\explorer.exe
    E:\Programme\Mozilla Firefox\firefox.exe
    E:\Programme\Winamp\winamp.exe
    E:\Programme\ICQ\ICQ6.5\ICQ.exe
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
    E:\Programme\BitDefender10\vsserv.exe
    E:\Programme\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    F2 - REG:system.ini: Shell=explorer.exe "C:\DOKUME~1\Max\LOKALE~1\Temp\Server.exe"
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,"C:\DOKUME~1\Max\LOKALE~1\Temp\Server.exe",
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [BDMCon] "E:\Programme\BitDefender10\bdmcon.exe" /reg
    O4 - HKLM\..\Run: [BDAgent] "E:\Programme\BitDefender10\bdagent.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [COMODO Internet Security] "E:\Programme\Comodo\Firewall\cfp.exe" -h
    O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\msrstart.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [hkcmd32] C:\DOKUME~1\Max\LOKALE~1\Temp\Server.exe
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "E:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [AlcoholAutomount] "E:\Programme\Alcohol 120\axcmd.exe" /automount
    O4 - HKCU\..\Policies\Explorer\Run: [hkcmd32] C:\DOKUME~1\Max\LOKALE~1\Temp\Server.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Logitech SetPoint.lnk = E:\Programme\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O23 - Service: afisicx Service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
    O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - E:\Programme\Comodo\Firewall\cmdagent.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
    O23 - Service: mabidwe Service (mabidwe) - Unknown owner - C:\WINDOWS\system32\mabidwe.exe
    O23 - Service: perfs Service (perfs) - Unknown owner - C:\WINDOWS\system32\perfs.exe
    O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
    O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
    O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - E:\Programme\BitDefender10\vsserv.exe
    O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

    --
    End of file - 6060 bytes
  • Entferne mal mit Hijackthis diese Einträge.

    O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\msrstart.exe

    O4 - HKCU\..\Policies\Explorer\Run: [hkcmd32] C:\DOKUME~1\Max\LOKALE~1\Temp\Server.exe

    O23 - Service: perfs Service (perfs) - Unknown owner - C:\WINDOWS\system32\perfs.exe


    Ansonsten nichts auffälliges.Das mit dem Abgesicherten Modus schon gemacht?


    Mal ne Frage.Hast Du Dein BS auf ner anderen Partition?Oder nur die Programme auf E: Installiert.



    Greetz
    [COLOR="Blue"][SIZE="3"]Das Problem ist nicht der Computer,das Problem sitzt davor.[/SIZE][/color]
  • Also laut der Logfileauswertung kannste diese Einträge mal fixen:

    O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\msrstart.exe
    O23 - Service: perfs Service (perfs) - Unknown owner - C:\WINDOWS\system32\perfs.exe
    O4 - HKCU\..\Policies\Explorer\Run: [hkcmd32] C:\DOKUME~1\Max\LOKALE~1\Temp\Server.exe

    Ansonsten mach noch wie Firecat geschrieben hat, ein Ad-Aware Scan!

    Edit: Upps etwas zu langsam!
  • also wie oben schon genannt :D aber vollstaendig

    wurde noch einiges uebersehen;)

    alles im F8 Modus (abgesicherter Modus ) fixen
    vierenscanner durchlaufen lassen
    sowie danach alle systemwiederherstellungspunkte sowie Temp ordner / Cookie loeschen.

    F2 - REG:system.ini: Shell=explorer.exe "C:\DOKUME~1\Max\LOKALE~1\Temp\Server.exe"

    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,"C:\DOKU ME~1\Max\LOKALE~1\Temp\Server.exe",

    O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\msrstart.exe

    O4 - HKCU\..\Run: [hkcmd32] C:\DOKUME~1\Max\LOKALE~1\Temp\Server.exe

    O4 - HKCU\..\Policies\Explorer\Run: [hkcmd32] C:\DOKUME~1\Max\LOKALE~1\Temp\Server.exe

    O23 - Service: afisicx Service (afisicx) - Unknown owner - C:\WINDOWS\system32\afisicx.exe

    O23 - Service: mabidwe Service (mabidwe) - Unknown owner - C:\WINDOWS\system32\mabidwe.exe

    O23 - Service: perfs Service (perfs) - Unknown owner - C:\WINDOWS\system32\perfs.exe

    O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:\WINDOWS\system32\sopidkc.exe


    hoffe du bekommst dein system wieder sauber

    gruss snoppy:drum:
  • Firecat schrieb:

    Und Du machst das mit dem Virenscanner und Adaware auch wirklich im Abgesicherten Modus ?


    virenscan ja, adaware nein

    und was den hier angeht:
    F2 - REG:system.ini: Shell=explorer.exe "C:\DOKUME~1\Max\LOKALE~1\Temp\Server.exe"
    seit ich das gefixt hab, kommt beim systemstart ständig eine fehlermeldung, die sagt "[o.g. pfad]\server.exe konnte nicht gefunden werden" allerdings gibt es in den meldungen keinen anhaltspunkt, welcher prozess auf diese datei denn zugreifen will. und ich selbst hab keinen server o.ä. am laufen.

    zumindest kam das phänomen mit den stimmen nicht mehr vor, und die umtcdtw.sys find ich im taskmanager auch nicht mehr...

    bin euch echt dankbar (in der hoffnung, dass es so bleibt^^)