Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TrojanDropper:Win64/Tnega!MSR eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Thema geschlossen
Alt 12.01.2021, 17:55   #1
GX-10
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Windows Defender meldet bei jedem Neustart eine Virenbedrohung:

Erkannt: TrojanDropper:Win64/Tnega!MSR
Status: Entfernt
Datum: 12.01.202118:43

Betroffene Elemente: file:C:\Users\srest\AppData\Local\Temp\GetX64BTIT.exe

Mozilla Firefox war massiv betroffen, baute keine Verbindung auf, beim Start erscheint kurzzeitig ein blaues Fenster darauf blockt sofort der Defender.

Laptop ist ca. 2 Monate alt und wird ausschließlich privat genutzt.

Hab mehrere Programme drüber laufen lassen und wieder entfernt...alles ohne erfolgt
Angehängte Dateien
Dateityp: txt Addition.txt (39,7 KB, 52x aufgerufen)
Dateityp: txt FRST.txt (46,2 KB, 44x aufgerufen)

Geändert von GX-10 (12.01.2021 um 18:02 Uhr)

Alt 12.01.2021, 19:16   #2
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.
__________________

__________________

Alt 12.01.2021, 20:02   #3
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    CloseProcesses:
    HKU\S-1-5-21-3967156566-3355058637-1915355321-1001\...\RunOnce: [srest] => powershell -Win Hi -Command "$r = [Environment]::GetEnvironmentVariable('srest', 'User').split();$p=$r[0];$r[0]='';Start-Process $p -ArgumentList ($r -join ' ') -Win Hi" <==== ACHTUNG
    BootExecute: autocheck autochk * sdnclean64.exe
    DeleteKey: HKCU\Software\srest
    DeleteKey: HKCU\Software\srest1
    DeleteValue: HKCU\Environment|srest
    CMD: reg query HKCU\Software
    CMD: reg query HKCU\Environment
    S4 ELANFPService; %SystemRoot%\System32\ELANFPService.exe [X]
    S2 HP Comm Recover; "C:\Program Files\HPCommRecovery\HPCommRecovery.exe" [X]
    2021-01-11 21:14 - 2021-01-11 21:14 - 000000000 ____D C:\Safer-Networking Ltd
    2021-01-11 21:02 - 2021-01-12 18:29 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2021-01-11 21:02 - 2021-01-12 18:27 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2021-01-11 21:02 - 2021-01-11 21:02 - 000000000 ____D C:\windows\system32\Tasks\Safer-Networking
    2021-01-11 21:02 - 2021-01-11 21:02 - 000000000 ____D C:\Users\srest\AppData\Local\Safer-Networking Ltd
    2021-01-11 20:50 - 2021-01-11 20:57 - 069300040 _____ (Safer-Networking Ltd. ) C:\Users\srest\Downloads\spybot-search-and-destroy-2-8-68.exe
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    powershell: Set-MpPreference -PUAProtection Enabled
    Hosts:
    RemoveProxy:
    SystemRestore: On 
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)
__________________
__________________

Alt 12.01.2021, 20:18   #4
GX-10
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



ok anbei die Logs
Angehängte Dateien
Dateityp: txt Fixlog.txt (7,1 KB, 25x aufgerufen)
Dateityp: txt FRST.txt (44,8 KB, 21x aufgerufen)
Dateityp: txt Addition.txt (38,6 KB, 34x aufgerufen)

Alt 12.01.2021, 20:33   #5
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Kannst du mir mal sagen, wieso du dir lauter zugemüllte Installer auf den Rechner holst?
Willst du deinen Rechner absichtlich infizieren?
Von wo lädst du dir denn diese ganzen ...DL-Manager.exe herunter?

Zitat:
Date: 2021-01-12 21:14:25.2540000Z
Description:
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?lin...5&enterprise=0
Name: PUA:Win32/DownloadGuide
ID: 223795
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\srest\Downloads\AntiDupl.NET-2.3.10_CB-DL-Manager.exe; file:_C:\Users\srest\Downloads\SamsChannelEditor.v0.13_CB-DL-Manager.exe; file:_C:\Users\srest\Downloads\setup-SimilarImages-2013.11_CB-DL-Manager.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: Konkret
Erkennungsquelle: Echtzeitschutz
Benutzer: LAPTOP-7BE4SHC1\srest
Prozessname: C:\Users\srest\Downloads\FRST64.exe
Sicherheitsversion: AV: 1.329.2075.0, AS: 1.329.2075.0, NIS: 1.329.2075.0
Modulversion: AM: 1.1.17700.4, NIS: 1.1.17700.4

Date: 2021-01-12 21:14:25.1510000Z
Description:
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?lin...8&enterprise=0
Name: App:Chip_Updater_BundleInstaller
ID: 268628
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\srest\Downloads\Samsung-channel-list-pc-editor - Focus Installer.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: Konkret
Erkennungsquelle: Echtzeitschutz
Benutzer: LAPTOP-7BE4SHC1\srest
Prozessname: C:\Users\srest\Downloads\FRST64.exe
Sicherheitsversion: AV: 1.329.2075.0, AS: 1.329.2075.0, NIS: 1.329.2075.0
Modulversion: AM: 1.1.17700.4, NIS: 1.1.17700.4

Date: 2021-01-12 21:14:25.1010000Z
Description:
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?lin...5&enterprise=0
Name: PUA:Win32/DownloadGuide
ID: 223795
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\srest\Downloads\AntiDupl.NET-2.3.10_CB-DL-Manager.exe; file:_C:\Users\srest\Downloads\SamsChannelEditor.v0.13_CB-DL-Manager.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: Konkret
Erkennungsquelle: Echtzeitschutz
Benutzer: LAPTOP-7BE4SHC1\srest
Prozessname: C:\Users\srest\Downloads\FRST64.exe
Sicherheitsversion: AV: 1.329.2075.0, AS: 1.329.2075.0, NIS: 1.329.2075.0
Modulversion: AM: 1.1.17700.4, NIS: 1.1.17700.4

Date: 2021-01-12 21:14:22.9550000Z
Description:
Microsoft Defender Antivirus hat Schadsoftware oder andere potenziell unerwünschte Software erkannt.
Weitere Informationen:
https://go.microsoft.com/fwlink/?lin...5&enterprise=0
Name: PUA:Win32/DownloadGuide
ID: 223795
Schweregrad: Niedrig
Kategorie: Potenziell unerwünschte Software
Pfad: file:_C:\Users\srest\Downloads\AntiDupl.NET-2.3.10_CB-DL-Manager.exe
Erkennungsursprung: Lokaler Computer
Erkennungstype: Konkret
Erkennungsquelle: Echtzeitschutz
Benutzer: LAPTOP-7BE4SHC1\srest
Prozessname: C:\Users\srest\Downloads\FRST64.exe
Sicherheitsversion: AV: 1.329.2075.0, AS: 1.329.2075.0, NIS: 1.329.2075.0
Modulversion: AM: 1.1.17700.4, NIS: 1.1.17700.4
Downloadquellen
Lade keine Software von Chip.de, Softonic.de, sourceforge.net, openoffice.de, VLC.de, audacity.de, gimp24.de oder updatestar.com.
Die dort angebotene Software wird häufig mit einem sog. "Installer" verteilt, mit dem man sich nur unerwünschte Software (Potentially unwanted programs, kurz PUP) oder Adware installiert.
Auf manchen Seiten wird direkt PUP / Adware zum Download angeboten.

Für Windows gibt es seit einiger Zeit einen brauchbaren Paketmanager, der mit einfachen Befehlen es erlaubt, automatisiert Software herunterzuladen und zu installieren. Das erspart eine Menge Arbeit, denn ohne einen Paketmanager muss man jedes Programm selbst prüfen und separat manuell updaten, vorher manuell noch runterladen etc. pp. - siehe auch --> chocolatey Paketmanager für Windows

Wir empfehlen dringend, alle Programme, sofern verfügbar, über chocolatey zu installieren. Falls du schon mit Linux zu tun hattest, wird dir die Syntax sehr vertraut sein.
Die FAQs zu choco findest du da --> Chocolatey: Häufig gestellte Fragen (englisch)
Selbstverständlich darfst du auch Fragen zu chocolatey im o.g. Thread zu chocolatey stellen.


Für den seltenen Fall, dass du das benötigte Programm nicht im repository von chocolatey findest: Lade diese Software immer direkt beim jeweiligen Hersteller / Entwickler.






Schritt 1
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 2
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei von MBAM
  • die Logdatei von AdwCleaner
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)


Alt 12.01.2021, 21:02   #6
GX-10
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Die Manager sind wohl von den verdächtigen Downloadquellen...gelobe Besserung

Werde mich in chocolatey einlesen war mir noch nicht bekannt...
Angehängte Dateien
Dateityp: txt Addition.txt (36,6 KB, 23x aufgerufen)
Dateityp: txt FRST.txt (42,4 KB, 21x aufgerufen)
Dateityp: txt AdwCleaner[C03].txt (2,0 KB, 21x aufgerufen)
Dateityp: txt LOG MBAM.txt (1,4 KB, 24x aufgerufen)

Alt 13.01.2021, 08:56   #7
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Mich würde ja brennend interessieren, wie du dich mit diesem Banking-Trojaner infiziert hast... aber wahrscheinlich weißt du das selber nicht...




Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    DeleteQuarantine:
    Unlock: C:\FRST
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.








Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 13.01.2021, 17:56   #8
GX-10
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Wie oder Wo ich mir den Trojaner eingefangen habe wüsste ich gern selbst....vielleicht über Tor?

Dennoch danke vielmals!!! Bewertung ist raus..Spende ist raus!!!

Klasse Forum!!!

Gruss Sascha
Angehängte Dateien
Dateityp: txt Fixlog.txt (1,1 KB, 22x aufgerufen)

Alt 13.01.2021, 19:25   #9
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Vielen Dank für die Spende. Sie dient zur Erhaltung des Forums.



Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu TrojanDropper:Win64/Tnega!MSR eingefangen
appdata, bedrohung, defender, dropper, eingefangen, erscheint, fenster, file, firefox, gefangen, gen, keine verbindung, kurzzeitig, laufen, melde, meldet, monate, neustart, privat, programme, sofort, temp, verbindung, win, win64/tnega!msr, windows



Ähnliche Themen: TrojanDropper:Win64/Tnega!MSR eingefangen


  1. Tnega!MSR Trojana
    Log-Analyse und Auswertung - 16.01.2021 (12)
  2. Windows Defender meldet dauerhaft TrojanDropper:Win64/Tnega!MSR
    Log-Analyse und Auswertung - 16.01.2021 (19)
  3. Der Defender schlägt Alarm: Erkannt: TrojanDropper:Win64/Tnega!MSR
    Log-Analyse und Auswertung - 13.01.2021 (8)
  4. In Windows 10 TrojanDropper:Win64/Tnega!MSR
    Log-Analyse und Auswertung - 08.01.2021 (39)
  5. Windows 10: mehrere Trojaner- Warnungen (TrojanDropper:Win64/Tnega!MSR)
    Log-Analyse und Auswertung - 02.01.2021 (35)
  6. Windows 7 Trojaner eingefangen, evtl. Win64/Sathurbot.A, Win32/Kryptik.CMWL, Win64/Sathurbot.A u. a.
    Log-Analyse und Auswertung - 14.10.2014 (15)
  7. TrojanDropper A E und D
    Log-Analyse und Auswertung - 14.03.2014 (9)
  8. Windows 7: Befall von mehreren Trojanern/Viren -Win64/Conedex.B + C + I, Win64/Sirefef.AZ+BJ
    Log-Analyse und Auswertung - 15.02.2014 (86)
  9. TrojanDropper Rotbrow.A Win 32
    Plagegeister aller Art und deren Bekämpfung - 07.11.2013 (5)
  10. Win64/Sirefef.M eingefangen vermutlich System bereits befallen
    Log-Analyse und Auswertung - 04.09.2012 (3)
  11. Win64/Sirefef.w - Sirefef.ab und Sirefef.M eingefangen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (29)
  12. Virus/Trojaner: Win64/sirefef.A ; Win64/sirefef.AB ; Win64/sirefef.W ; Auto-Neustart nach 1 Minute
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (18)
  13. Win64/Sirefef.AE Trojaner Win64/Agent.BA TrojanerC:\Windows\Installer\{f041020c-58e9-a705-4143-4ddcc
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (7)
  14. Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen
    Log-Analyse und Auswertung - 10.06.2012 (14)
  15. Trojan:Win32/Win64/Sirefef; Trojan:Win32/Conedex und Trojandropper:Win32/Sirefef
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (11)
  16. TrojanDropper:Win32/Mes
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (1)
  17. trojandropper.java.beyond.d
    Plagegeister aller Art und deren Bekämpfung - 13.01.2005 (1)

Zum Thema TrojanDropper:Win64/Tnega!MSR eingefangen - Windows Defender meldet bei jedem Neustart eine Virenbedrohung: Erkannt: TrojanDropper:Win64/Tnega!MSR Status: Entfernt Datum: 12.01.202118:43 Betroffene Elemente: file:C:\Users\srest\AppData\Local\Temp\GetX64BTIT.exe Mozilla Firefox war massiv betroffen, baute keine Verbindung auf, beim Start erscheint kurzzeitig - TrojanDropper:Win64/Tnega!MSR eingefangen...
Archiv
Du betrachtest: TrojanDropper:Win64/Tnega!MSR eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.