Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TrojanDropper:Win64/Tnega!MSR eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Thema geschlossen
Alt 21.01.2021, 18:30   #1
sminartowicz
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Guten Abend!
Windows Defender meldet bei jedem Neustart eine Virenbedrohung:

Erkannt: TrojanDropper:Win64/Tnega!MSR
Status: Entfernt
Datum: 21.01.2021 - nach 19:00 Uhr

Betroffene Elemente: file:C:\Users\srest\AppData\Local\Temp\GetX64BTIT.exe (laut Windeows Defender)

Mozilla Firefox war massiv betroffen, baute keine Verbindung auf, beim Start erscheint kurzzeitig ein blaues Fenster darauf blockt sofort der Defender.

Laptop ist ca. 6 Monate alt und wird privat und gewerblich genutzt. Ich bin freiberuflich tätiger Rechtsanwalt (Einzelkämpfer) und habe keinerlei sonstigen IT-Support. Kann ich mir besonders gerade aktuell leider nicht leisten.

Die Ursache kann ich sofort benennen. Ich habe im Internet nach Vertragsmustern gegoogelt und bin auf eine Seite gestoßen, die das Muster angeboten hatte. So weit so normal. Ich habe das Muster als zip Datei runtergeladen. Als ich das Archiv geöffnet habe sah ich zwar, dass eine komische Datei drin war (ich glaube JavaScript), aber die Hände waren schneller als das Hirn und ich sah nur den Namen „Mustervertrag“ und habe die Datei per Doppelklick geöffnet. War mir sofort klar, dass das nicht gut war, aber das bringt mir jetzt auch nichts.
Habe Malwarebytes drüber laufen lassen, dieses hat aber nichts erkannt. Bei Start zeigt mir aber Malwarebytes an, dass es eine Bedrohung erkennt und in Quarantäne gesteckt hat. Aber auch wenn ich die entsprechende Datei über Malwarebytes lösche behebt es nicht die Symptome. Beim Neustart ist dann wieder alles beim alten.

Ich habe die Meldungen von WindowsDefender und von Malwarebytes als Screenshots beigefügt.

Ich wäre für jede Hilfe sehr dankbar.
Angehängte Dateien
Dateityp: txt FRST.txt (32,4 KB, 58x aufgerufen)
Dateityp: txt Addition.txt (37,2 KB, 35x aufgerufen)
Dateityp: pdf WindowsDefender_und_Malwarebytes.pdf (493,3 KB, 65x aufgerufen)

Alt 21.01.2021, 21:02   #2
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen







Mein Name ist Matthias und ich werde dir bei der Analyse und der eventuell notwendigen Bereinigung deines Computers helfen.



Ich analysiere gerade dein System und melde mich in Kürze mit weiteren Anweisungen.
__________________

__________________

Alt 21.01.2021, 21:13   #3
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Wer hat dir denn gesagt, dass du ein Bild von den Funden von MBAM machen und diese in ein PDF integrieren sollst?
Du weißt schon, dass man die Logdateien von Malwarebytes als Textdatei exportieren und hier posten kann?







Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    HKU\S-1-5-21-4013939866-2561150948-2271151659-1001\...\RunOnce: [S. Minartowicz] => powershell -Win Hi -Command "$r = [Environment]::GetEnvironmentVariable('S.Minartowicz', 'User').split();$p=$r[0];$r[0]='';Start-Process $p -ArgumentList ($r -join ' ') -Win Hi" <==== ACHTUNG
    DeleteKey: HKCU\Software\S. Minartowicz
    DeleteKey: HKCU\Software\S. Minartowicz1
    DeleteValue: HKCU\Environment|S. Minartowicz
    DeleteValue: HKCU\Environment|S. Minartowicz1
    CMD: reg query HKCU\Software
    CMD: reg query HKCU\Environment
    C:\Users\AllUserName\Downloads\*CHIP-Installer*.exe
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: Bitsadmin /Reset /Allusers
    powershell: Set-MpPreference -PUAProtection Enabled
    Hosts:
    RemoveProxy:
    SystemRestore: On 
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)
__________________
__________________

Geändert von M-K-D-B (21.01.2021 um 21:20 Uhr)

Alt 21.01.2021, 22:26   #4
sminartowicz
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Vielen Dank für die schnelle Rückmeldung.

Habe die Schritte wie beschrieben ausgeführt.

Die entsprechenden logs sind beigefügt.
Angehängte Dateien
Dateityp: txt FRST.txt (33,1 KB, 25x aufgerufen)
Dateityp: txt Addition.txt (29,8 KB, 22x aufgerufen)
Dateityp: txt Fixlog.txt (8,1 KB, 21x aufgerufen)

Alt 22.01.2021, 07:50   #5
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Sehr gut gemacht!
So machen wir jetzt gleich weiter.







Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    DeleteValue: HKCU\Environment|S.Minartowicz
    CMD: reg query HKCU\Environment
    C:\Users\smina\AppData\Roaming\Mozilla\Firefox\Profiles\zsz0hzj8.default\prefs.js
    C:\Users\smina\AppData\Roaming\Mozilla\Firefox\Profiles\oyqoomle.default-release\prefs.js
    EmptyTemp:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Führe Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Schritt 3
Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei des FRST-Fix (fixlog.txt)
  • die Logdatei von MBAM
  • die Logdatei von AdwCleaner


Alt 22.01.2021, 08:53   #6
sminartowicz
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Habe alles wie dargestellt ausgeführt.

Beim Neustart nach dem Malwarebytes Scan hat sich der Rechner allerdings beim Bildschirm "Wird neu gestartet" aufgehanden. Musste einen Kaltstart machen.

Sonst lief alles ok.

Seit der ersten Aktion gestern tauchen auch keine erkennbaren Symptome mehr auf. D.h. Firefox läuft normal, kein blaues Fenster erscheint, Defender meldet nichts.

Die log sind beigefügt.
Angehängte Dateien
Dateityp: txt Fixlog.txt (2,0 KB, 20x aufgerufen)
Dateityp: txt MBAM.txt (1,6 KB, 17x aufgerufen)
Dateityp: txt AdwCleaner[C01].txt (2,0 KB, 18x aufgerufen)

Alt 22.01.2021, 09:40   #7
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Bei dem Fund von MBAM handelt es sich um einen Fehlalarm.
Starte MBAM, wähle Erkennungsverlauf.
Wähle den Eintrag "Backdoor.NanoCore, C:\PROGRAM FILES (X86)\NEWTONDICTATE 5X\NANOCORE3X.DLL" aus und klicke auf Wiederherstellen. Bestätige ggf.






Schritt 1
Führe Emsisoft Emergency Kit (EEK) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.






Schritt 2
  • Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
  • FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
  • Poste mir beide Logdateien mit deiner nächsten Antwort.





Bitte poste mit deiner nächsten Antwort:
  • die Logdatei von EEK
  • die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

Alt 22.01.2021, 10:48   #8
sminartowicz
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Alles ohne besondere Vorkomnisse ausgeführt.

Logs anbei.
Angehängte Dateien
Dateityp: txt EEK_scan_210122-113545.txt (988 Bytes, 15x aufgerufen)
Dateityp: txt FRST.txt (30,4 KB, 18x aufgerufen)
Dateityp: txt Addition.txt (28,6 KB, 19x aufgerufen)

Alt 22.01.2021, 10:56   #9
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Schritt 1
  • Speichere deine Arbeiten und schließe alle offenen Programme, damit keine Daten verloren gehen.
  • Kopiere den gesamten Inhalt der folgenden Code-Box:
    Code:
    ATTFilter
    Start::
    DeleteQuarantine:
    Unlock: C:\FRST
    Reboot:
    End::
             
  • Starte nun FRST und klicke direkt den Reparieren Button.
    Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
  • Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
  • Gegebenenfalls muss dein Rechner neu gestartet werden.
  • Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.





Schritt 2
Auf deinem Computer fehlt das aktuelle Funktionsupdate Version 20H2.
Zitat:
Platform: Windows 10 Pro Version 1909
  • Folge dem Pfad Start > Einstellungen > Update und Sicherheit > Windows Update und klicke auf Nach Updates suchen.
  • Wähle das Funktionsupdates aus, downloade und installiere es.
  • Alternativ kannst du auch mit dem Update Assistenten deine Windows-Version auf den neuesten Stand bringen.
    Klicke dazu auf Jetzt aktualisieren, lade dir den Update-Assistenten herunter und führe ihn aus.








Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber.


Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:




Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...
Vielleicht möchtest du das Forum mit einer kleinen Spende unterstützen.


Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Alt 22.01.2021, 13:47   #10
sminartowicz
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



So. Fixlog ist ertellt und anbei.

Update ist durchgeführt (ging ewig).

Clean up, mach ich gleich.

BESTEN DANK !!! Das war echt großartig !
Angehängte Dateien
Dateityp: txt Fixlog.txt (543 Bytes, 17x aufgerufen)

Alt 22.01.2021, 15:46   #11
M-K-D-B
/// TB-Ausbilder
 
TrojanDropper:Win64/Tnega!MSR eingefangen - Standard

TrojanDropper:Win64/Tnega!MSR eingefangen



Wir sind froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.

Thema geschlossen

Themen zu TrojanDropper:Win64/Tnega!MSR eingefangen
appdata, datei, defender, dropper, eingefangen, fenster, file, firefox, gen, getx64btit.exe, guten, internet, javascript, keine verbindung, komische, malwarebytes, meldet, meldungen, namen, neustart, privat, quarantäne, seite, temp, verbindung, win, win64/tnega!msr



Ähnliche Themen: TrojanDropper:Win64/Tnega!MSR eingefangen


  1. TrojanDropper:Win64/Tnega!MSR beim Download gefangen
    Log-Analyse und Auswertung - 23.01.2021 (12)
  2. Tnega!MSR Trojana
    Log-Analyse und Auswertung - 16.01.2021 (12)
  3. Windows Defender meldet dauerhaft TrojanDropper:Win64/Tnega!MSR
    Log-Analyse und Auswertung - 16.01.2021 (19)
  4. TrojanDropper:Win64/Tnega!MSR eingefangen
    Log-Analyse und Auswertung - 13.01.2021 (8)
  5. Der Defender schlägt Alarm: Erkannt: TrojanDropper:Win64/Tnega!MSR
    Log-Analyse und Auswertung - 13.01.2021 (8)
  6. In Windows 10 TrojanDropper:Win64/Tnega!MSR
    Log-Analyse und Auswertung - 08.01.2021 (39)
  7. Windows 10: mehrere Trojaner- Warnungen (TrojanDropper:Win64/Tnega!MSR)
    Log-Analyse und Auswertung - 02.01.2021 (35)
  8. Windows 7 Trojaner eingefangen, evtl. Win64/Sathurbot.A, Win32/Kryptik.CMWL, Win64/Sathurbot.A u. a.
    Log-Analyse und Auswertung - 14.10.2014 (15)
  9. TrojanDropper A E und D
    Log-Analyse und Auswertung - 14.03.2014 (9)
  10. Windows 7: Befall von mehreren Trojanern/Viren -Win64/Conedex.B + C + I, Win64/Sirefef.AZ+BJ
    Log-Analyse und Auswertung - 15.02.2014 (86)
  11. Win64/Sirefef.M eingefangen vermutlich System bereits befallen
    Log-Analyse und Auswertung - 04.09.2012 (3)
  12. Win64/Sirefef.w - Sirefef.ab und Sirefef.M eingefangen
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (29)
  13. Virus/Trojaner: Win64/sirefef.A ; Win64/sirefef.AB ; Win64/sirefef.W ; Auto-Neustart nach 1 Minute
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (18)
  14. Win64/Sirefef.AE Trojaner Win64/Agent.BA TrojanerC:\Windows\Installer\{f041020c-58e9-a705-4143-4ddcc
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (7)
  15. Win64:Sirefef-A (Trj) und Win32:Sirefef-AO (Rtk) eingefangen
    Log-Analyse und Auswertung - 10.06.2012 (14)
  16. Trojan:Win32/Win64/Sirefef; Trojan:Win32/Conedex und Trojandropper:Win32/Sirefef
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (11)
  17. trojandropper.java.beyond.d
    Plagegeister aller Art und deren Bekämpfung - 13.01.2005 (1)

Zum Thema TrojanDropper:Win64/Tnega!MSR eingefangen - Guten Abend! Windows Defender meldet bei jedem Neustart eine Virenbedrohung: Erkannt: TrojanDropper:Win64/Tnega!MSR Status: Entfernt Datum: 21.01.2021 - nach 19:00 Uhr Betroffene Elemente: file:C:\Users\srest\AppData\Local\Temp\GetX64BTIT.exe (laut Windeows Defender) Mozilla Firefox war massiv - TrojanDropper:Win64/Tnega!MSR eingefangen...
Archiv
Du betrachtest: TrojanDropper:Win64/Tnega!MSR eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.