Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Warnung! Scareware eingefangen: Datei TOKOV.EXE (https://www.trojaner-board.de/90337-warnung-scareware-eingefangen-datei-tokov-exe.html)

rowlar 03.09.2010 07:48
Warnung! Scareware eingefangen: Datei TOKOV.EXE
 
Nach sieben Jahren hat mich es erwischt: habe mir wohl ne brandneue Scareware eingefangen.

Mein System: Labtop Asus M2N, Windows XP Pro Servicepack 3. Avira personal.

Ich machs erst mal kurz. Ist als Warnung und als erste Frage gemeint:
Wem sagt die Datei TOKOV.EXE etwas. Google und Co. sagen so gut wie nichts dazu? Dieses File hat meine Kiste fast lahmgelegt.

entschuldigt, werde später konkreter
Patrick

So jetzt, hatte eine Arzttermin.

Ich habe eine .rar Datei mittels torrent heruntergeladen und mit Winrar geöffnet. Darin waren ein Ordner und eine Datei pass.txt. In Winrar habe ich pass.txt geöffnet. Es öffnete sich kein Textfile und ich habe realisiert, dass der Ordner gar nicht passwortgeschützt war (habe wohl geschlafen :-( ). Ich habe den Download gelöscht.

Eine halbe Stunde später ging es los: Gefakt als Microsofts Antimaleware meldete es eine Vierenverseuchung mittels Fenster. Ich hab's abgebrochen. Drei Minuten später dieselbe Meldung aus dem Systray. Wieder abgebrochen. Kurz darauf kam der Internet-Explorer und wollte sich mit einer Website ähnlich "antivierenspace.org" oder "avspace.org verbinden. War zu diesem Zeitpunt schon offline. Diese drei Aktionen wiederholten sich in einem fort.

Ich konnte mittels Taskmanager, Prozessexplorer und Autoruns die Datei tokov.exe ausfindig machen und zunächst mal lahmlegen.

Tokov.exe nistet sich unter anderem in "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" in der Registry ein.
Es wurde weiterhin ein Verzeichnis unter "...Dokumente und Einstellungen\User" ein Verzeichnis beginnend mit "x" ähnlich "xdvbtrtfbk" und darin eine Datei etwa "nnkpdpjfj.exe" angelegt" (ich habe während der ersten Panik und Gegenmaßnahme den Mist umbenannt und weiß die genauen Namen nicht mehr).

Das schlimmste aber:
"Dokumente und Einstellungen wurde als versteckt markiert mit angegrautem Kästchen, lässt sich also nicht mal von mir als Admin ändern.
Weiterhin sind alle Ordner im "User" Verzeichnis (auch versteckt) als Verknüpfung geändert - Ohne Ziel. Händisch kann ich in die Ordner wechseln.
Auf der externen Festplatte wurden alle Ordner im Stammverzeichnis in Verknüpfungen gewandelt - mit Ziel "I:\tokovx.exe Lager"! Auch hier kann ich händisch in die Ordner wechsen.

Ich kann aber weder "tokovx.exe" auf der Externen sehen noch "tokov.exe" noch das, von mir umbenannte, Verzeichnis beginnend mit "x".

Ich habe keine Ahnung wie ich die Verknüpfungen wieder los werde noch wie ich "tokov.exe" und die anderen sichtbar bekomme.

Für "tokov" habe ich ausschließlich tschechische, evtl. ein paar russische Treffer bei Google bekommen. Lediglich einer gab mir (nach leidlicher Übersetzung von Google) einen Hinweis, dass dies etwas mit den Metadaten von NTFS zu tun haben könnte.

Ich bin nun seit 25 Jahren Online, sowas hab ich noch nicht erlebt.
Wer kann helfen?

Gruß
Patrick

edit:
Avira hatte dazu nichts zu melden.
Und sicher, "Systemdateien ausblenden" habe ich ausgeschaltet.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:45 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129