|
Plagegeister aller Art und deren Bekämpfung: tofitugikloq.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.08.2012, 22:43 | #1 |
| tofitugikloq.exe Hallo Trojaner-Board, vor einigen Tagen wurde mir eine Warnmeldung angezeigt (sophos ist installiert daher denke ich daher kam auch die Meldung), dass irgendwas gefunden wurde. Da ich aber mitten im Arbeiten war hab ich das alles einfach weggeklickt ohne zu lesen. Ich weiss nur noch, dass der Laptop kurz hing und ich die Anzeige nicht einfach schließen konnte. Die Anordnung der Dateien auf dem Desktop hat sich danach auch geändert. Nun gut, da mein Laptop viel heißer wird als sonst und auch das Akku in wenigen Minuten leer wird hab ich mal geschaut was da denn so für Prozesse laufen und bin auf tofitugikloq.exe gestoßen, was 50% CPU-Auslastung mitbringt. Daher habe ich mal danach gegoogelt und bin hier gelandet. Die logs im Anhang... Gmer hatte beim ersten Start übrigens Probleme und die Windows-Anzeige erschien, dass das Programm nicht mehr funktioniert und geschlossen werden muss. Beim zweiten Anlauf hats dann geklappt. Vielen Dank schonmal!! |
13.08.2012, 06:51 | #2 |
| tofitugikloq.exe Hi,
__________________(wahrscheinlich) Rootkit und Trojaner... Fix für OTL:
Code:
ATTFilter :OTL O4 - HKCU..\Run: [{3675DBC5-3A38-F700-85CC-A1BB8A2925E9}] C:\Users\anna\AppData\Roaming\Orget\uwuf.exe File not found O4 - HKCU..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found O4 - HKCU..\Run: [tofitugikloq] C:\Users\anna\tofitugikloq.exe (Sparkle Power Inc.) [2012-01-11 15:04:38 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\@ [2012-01-11 15:04:38 | 000,002,048 | -HS- | C] () -- C:\Users\anna\AppData\Local\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\@ :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] "DisableMonitoring" = dword:0x00 :Commands [emptytemp] [Reboot]
Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Danach bitte update der Signaturdateien (Reiter "Aktualisierungen" -> Suche nach Aktualisierungen") Fullscan und alles bereinigen lassen! Log posten. So, und dann habe ich da noch eine Frage: "O1 - Hosts: 127.0.0.1 activate.adobe.com" lässt vermuten, dass du nicht lizensierte SW von Adobe einsetzt...???? chris
__________________ |
13.08.2012, 10:08 | #3 |
| tofitugikloq.exe wenn ich OTL mit dem fix ausführe kommt sofort die Windows-Meldung: Ein kritischer Fehler wurde festgestellt, der Computer wird in einer Minute neu gestartet.
__________________ |
13.08.2012, 10:19 | #4 |
| tofitugikloq.exe Hi, im abgesicherten Modus (F8 beim Booten) probieren... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
13.08.2012, 14:28 | #5 |
| tofitugikloq.exe otl log: All processes killed ========== OTL ========== Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{3675DBC5-3A38-F700-85CC-A1BB8A2925E9} not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3675DBC5-3A38-F700-85CC-A1BB8A2925E9}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Regedit32 not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\tofitugikloq not found. File C:\Users\anna\tofitugikloq.exe not found. File C:\Windows\Installer\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\@ not found. File C:\Users\anna\AppData\Local\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\@ not found. ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus\\"DisableMonitoring" | dword:0x00 /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: anna ->Temp folder emptied: 4144715858 bytes ->Temporary Internet Files folder emptied: 1063935690 bytes ->Java cache emptied: 82038149 bytes ->FireFox cache emptied: 1100991611 bytes ->Flash cache emptied: 84500 bytes User: Default ->Temp folder emptied: 32768 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->Flash cache emptied: 198 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 204390272 bytes RecycleBin emptied: 157878140 bytes Total Files Cleaned = 6*441,00 mb OTL by OldTimer - Version 3.2.57.0 log created on 08132012_114023 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... malware-log: Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.08.13.02 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 anna :: EMIL [Administrator] Schutz: Aktiviert 2012-08-13 12:06:17 mbam-log-2012-08-13 (15-07-11).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 423694 Laufzeit: 2 Stunde(n), 54 Minute(n), 26 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Keine Aktion durchgeführt. Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Daten: C:\Users\anna\AppData\Local\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\n. -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 6 C:\Users\anna\AppData\Local\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\n (RootKit.0Access) -> Keine Aktion durchgeführt. C:\Users\anna\Desktop\patch\patch.exe (RiskWare.Tool.HCK) -> Keine Aktion durchgeführt. C:\Users\anna\Documents\stuff\ps cs3\Keygen.exe (RiskWare.Tool.HCK) -> Keine Aktion durchgeführt. C:\Users\anna\Documents\stuff\ps cs3\Keygen2.exe (Trojan.Downloader) -> Keine Aktion durchgeführt. C:\Windows\Installer\{e1ebac2d-f736-d299-0e26-6a0818f56cbe}\n (RootKit.0Access) -> Keine Aktion durchgeführt. C:\_OTL\MovedFiles\08132012_105610\C_Users\anna\tofitugikloq.exe (Trojan.Phex.THAGen3) -> Keine Aktion durchgeführt. (Ende) und ja, ich nutze ps cs6. |
14.08.2012, 06:31 | #6 |
| tofitugikloq.exe Hi, alle Funde von MAM beseitigen lassen, Du hast ein Rootkit auf dem Rechner und einige Patches und Keygens -> http://www.trojaner-board.de/95394-c...-software.html.. Damit endet hier die Unterstützung... chris
__________________ --> tofitugikloq.exe |
Themen zu tofitugikloq.exe |
angezeigt, anzeige, arbeiten, cpu-auslastung, dateien, desktop, einfach, funktioniert, geschlossen, installiert, laptop, leer, meldung, minute, minuten, nicht mehr, probleme, programm, prozesse, schließe, schließen, schonmal, sophos, start, tofitugikloq.exe, trojaner-board, warnmeldung |