|
Plagegeister aller Art und deren Bekämpfung: Warnung! Scareware eingefangen: Datei TOKOV.EXEWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.09.2010, 07:48 | #1 |
| Warnung! Scareware eingefangen: Datei TOKOV.EXE Nach sieben Jahren hat mich es erwischt: habe mir wohl ne brandneue Scareware eingefangen. Mein System: Labtop Asus M2N, Windows XP Pro Servicepack 3. Avira personal. Ich machs erst mal kurz. Ist als Warnung und als erste Frage gemeint: Wem sagt die Datei TOKOV.EXE etwas. Google und Co. sagen so gut wie nichts dazu? Dieses File hat meine Kiste fast lahmgelegt. entschuldigt, werde später konkreter Patrick So jetzt, hatte eine Arzttermin. Ich habe eine .rar Datei mittels torrent heruntergeladen und mit Winrar geöffnet. Darin waren ein Ordner und eine Datei pass.txt. In Winrar habe ich pass.txt geöffnet. Es öffnete sich kein Textfile und ich habe realisiert, dass der Ordner gar nicht passwortgeschützt war (habe wohl geschlafen :-( ). Ich habe den Download gelöscht. Eine halbe Stunde später ging es los: Gefakt als Microsofts Antimaleware meldete es eine Vierenverseuchung mittels Fenster. Ich hab's abgebrochen. Drei Minuten später dieselbe Meldung aus dem Systray. Wieder abgebrochen. Kurz darauf kam der Internet-Explorer und wollte sich mit einer Website ähnlich "antivierenspace.org" oder "avspace.org verbinden. War zu diesem Zeitpunt schon offline. Diese drei Aktionen wiederholten sich in einem fort. Ich konnte mittels Taskmanager, Prozessexplorer und Autoruns die Datei tokov.exe ausfindig machen und zunächst mal lahmlegen. Tokov.exe nistet sich unter anderem in "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" in der Registry ein. Es wurde weiterhin ein Verzeichnis unter "...Dokumente und Einstellungen\User" ein Verzeichnis beginnend mit "x" ähnlich "xdvbtrtfbk" und darin eine Datei etwa "nnkpdpjfj.exe" angelegt" (ich habe während der ersten Panik und Gegenmaßnahme den Mist umbenannt und weiß die genauen Namen nicht mehr). Das schlimmste aber: "Dokumente und Einstellungen wurde als versteckt markiert mit angegrautem Kästchen, lässt sich also nicht mal von mir als Admin ändern. Weiterhin sind alle Ordner im "User" Verzeichnis (auch versteckt) als Verknüpfung geändert - Ohne Ziel. Händisch kann ich in die Ordner wechseln. Auf der externen Festplatte wurden alle Ordner im Stammverzeichnis in Verknüpfungen gewandelt - mit Ziel "I:\tokovx.exe Lager"! Auch hier kann ich händisch in die Ordner wechsen. Ich kann aber weder "tokovx.exe" auf der Externen sehen noch "tokov.exe" noch das, von mir umbenannte, Verzeichnis beginnend mit "x". Ich habe keine Ahnung wie ich die Verknüpfungen wieder los werde noch wie ich "tokov.exe" und die anderen sichtbar bekomme. Für "tokov" habe ich ausschließlich tschechische, evtl. ein paar russische Treffer bei Google bekommen. Lediglich einer gab mir (nach leidlicher Übersetzung von Google) einen Hinweis, dass dies etwas mit den Metadaten von NTFS zu tun haben könnte. Ich bin nun seit 25 Jahren Online, sowas hab ich noch nicht erlebt. Wer kann helfen? Gruß Patrick edit: Avira hatte dazu nichts zu melden. Und sicher, "Systemdateien ausblenden" habe ich ausgeschaltet. |
Themen zu Warnung! Scareware eingefangen: Datei TOKOV.EXE |
asus, avira, brand, datei, eingefangen, erwischt, file, frage, gefangen, gemein, gen, google, jahre, kis, labtop, maßnahme, nichts, scareware, servicepack, sieben, system, tokov, warnung, windows, windows xp |