Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: tofitugikloq.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.08.2012, 22:43   #1
filmgrain
 
tofitugikloq.exe - Standard

tofitugikloq.exe



Hallo Trojaner-Board,
vor einigen Tagen wurde mir eine Warnmeldung angezeigt (sophos ist installiert daher denke ich daher kam auch die Meldung), dass irgendwas gefunden wurde. Da ich aber mitten im Arbeiten war hab ich das alles einfach weggeklickt ohne zu lesen. Ich weiss nur noch, dass der Laptop kurz hing und ich die Anzeige nicht einfach schließen konnte. Die Anordnung der Dateien auf dem Desktop hat sich danach auch geändert.
Nun gut, da mein Laptop viel heißer wird als sonst und auch das Akku in wenigen Minuten leer wird hab ich mal geschaut was da denn so für Prozesse laufen und bin auf tofitugikloq.exe gestoßen, was 50% CPU-Auslastung mitbringt. Daher habe ich mal danach gegoogelt und bin hier gelandet.
Die logs im Anhang...

Gmer hatte beim ersten Start übrigens Probleme und die Windows-Anzeige erschien, dass das Programm nicht mehr funktioniert und geschlossen werden muss. Beim zweiten Anlauf hats dann geklappt.

Vielen Dank schonmal!!

Alt 13.08.2012, 06:51   #2
Chris4You
 
tofitugikloq.exe - Standard

tofitugikloq.exe



Hi,

(wahrscheinlich) Rootkit und Trojaner...

Fix für OTL:
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code:
ATTFilter
:OTL
O4 - HKCU..\Run: [{3675DBC5-3A38-F700-85CC-A1BB8A2925E9}] C:\Users\anna\AppData\Roaming\Orget\uwuf.exe File not found
O4 - HKCU..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found
O4 - HKCU..\Run: [tofitugikloq] C:\Users\anna\tofitugikloq.exe (Sparkle Power Inc.)
[2012-01-11 15:04:38 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\@
[2012-01-11 15:04:38 | 000,002,048 | -HS- | C] () -- C:\Users\anna\AppData\Local\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\@

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
"DisableMonitoring" = dword:0x00

:Commands
[emptytemp]
[Reboot]
         
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

So, und dann habe ich da noch eine Frage:
"O1 - Hosts: 127.0.0.1 activate.adobe.com" lässt vermuten, dass du nicht lizensierte SW von Adobe einsetzt...????

chris
__________________

__________________

Alt 13.08.2012, 10:08   #3
filmgrain
 
tofitugikloq.exe - Standard

tofitugikloq.exe



wenn ich OTL mit dem fix ausführe kommt sofort die Windows-Meldung: Ein kritischer Fehler wurde festgestellt, der Computer wird in einer Minute neu gestartet.
__________________

Alt 13.08.2012, 10:19   #4
Chris4You
 
tofitugikloq.exe - Standard

tofitugikloq.exe



Hi,
im abgesicherten Modus (F8 beim Booten) probieren...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 13.08.2012, 14:28   #5
filmgrain
 
tofitugikloq.exe - Standard

tofitugikloq.exe



otl log:
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{3675DBC5-3A38-F700-85CC-A1BB8A2925E9} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3675DBC5-3A38-F700-85CC-A1BB8A2925E9}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Regedit32 not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\tofitugikloq not found.
File C:\Users\anna\tofitugikloq.exe not found.
File C:\Windows\Installer\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\@ not found.
File C:\Users\anna\AppData\Local\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\@ not found.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus\\"DisableMonitoring" | dword:0x00 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: anna
->Temp folder emptied: 4144715858 bytes
->Temporary Internet Files folder emptied: 1063935690 bytes
->Java cache emptied: 82038149 bytes
->FireFox cache emptied: 1100991611 bytes
->Flash cache emptied: 84500 bytes

User: Default
->Temp folder emptied: 32768 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 198 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 204390272 bytes
RecycleBin emptied: 157878140 bytes

Total Files Cleaned = 6*441,00 mb


OTL by OldTimer - Version 3.2.57.0 log created on 08132012_114023

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


malware-log:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.13.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
anna :: EMIL [Administrator]

Schutz: Aktiviert

2012-08-13 12:06:17
mbam-log-2012-08-13 (15-07-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 423694
Laufzeit: 2 Stunde(n), 54 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Daten: C:\Users\anna\AppData\Local\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\n. -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Users\anna\AppData\Local\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\n (RootKit.0Access) -> Keine Aktion durchgeführt.
C:\Users\anna\Desktop\patch\patch.exe (RiskWare.Tool.HCK) -> Keine Aktion durchgeführt.
C:\Users\anna\Documents\stuff\ps cs3\Keygen.exe (RiskWare.Tool.HCK) -> Keine Aktion durchgeführt.
C:\Users\anna\Documents\stuff\ps cs3\Keygen2.exe (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Windows\Installer\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\n (RootKit.0Access) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\08132012_105610\C_Users\anna\tofitugikloq.exe (Trojan.Phex.THAGen3) -> Keine Aktion durchgeführt.

(Ende)


und ja, ich nutze ps cs6.


Alt 14.08.2012, 06:31   #6
Chris4You
 
tofitugikloq.exe - Standard

tofitugikloq.exe



Hi,

alle Funde von MAM beseitigen lassen, Du hast ein Rootkit auf dem Rechner und einige Patches und Keygens -> http://www.trojaner-board.de/95394-c...-software.html..

Damit endet hier die Unterstützung...

chris
__________________
--> tofitugikloq.exe

Antwort

Themen zu tofitugikloq.exe
angezeigt, anzeige, arbeiten, cpu-auslastung, dateien, desktop, einfach, funktioniert, geschlossen, installiert, laptop, leer, meldung, minute, minuten, nicht mehr, probleme, programm, prozesse, schließe, schließen, schonmal, sophos, start, tofitugikloq.exe, trojaner-board, warnmeldung





Zum Thema tofitugikloq.exe - Hallo Trojaner-Board, vor einigen Tagen wurde mir eine Warnmeldung angezeigt (sophos ist installiert daher denke ich daher kam auch die Meldung), dass irgendwas gefunden wurde. Da ich aber mitten im - tofitugikloq.exe...
Archiv
Du betrachtest: tofitugikloq.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.