Trojaner: TrKr(üpsilon)pt.xpack.Gen7 entfernen
 

Hallo,
ich habe offensichtlich den oben genannten trojaner mir auf meinem PC eingefangen.
ich habe keinen zugriff mehr auf´s internet und bin etwas hilflos. Ich habe zum Glück noch einen zweiten PC.

Software: windwos 8

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Cosinus,

ich freue mich sehr, dass Du dich auf meinen Blog meldest. Jedoch verstehe ich nur Bahnhof, was ich machen soll.....:confused::confused::confused:

Ich kann meinen PC zwar hochfahren, aber das war es schon!!!!

Ich komm NICHT ins INTERNET!!!

und wie / vor allem WO kann ich das, was ich dir posten soll, machen???

:heulen::heulen::heulen:

Ich verstehe ein klein wenig was von PC, aber seit ich den PC mit Windows 8 habe, nur Bahnhof...:headbang::headbang::headbang:
ich bin deswegen auf deine detailierte HIlfe angewiesen


LG
Urselchen

Du hast schon mal was von USB Sticks gehört oder? Wenn ja, musst du von einem Rechner mit Internetverbindung arbeiten, die Tools von da auf dem Stick kopieren und auf den Problemrechner übertragen. Die Logs dann von diesem auf den Stick und vom Rechner mit Internetverbindung posten.

:wtf: Du verlangst Sachen von mir, die ich noch nieee in meinem Leben gemacht habe... Hallelulja.... ich versuche es.... in der Hoffnung es Klappt... bitte reiß mir nicht den Kopf ab, wenn irgendwas nicht so ist, wie es sein soll... ich gebe mein bestes...!!!



FRST Logfile:
--- --- ---


FRST Additions Logfile:
--- --- ---


Jetzt bin ich gespannt auf DEINE Antwort..... war alles richtig??? Und wo siehst du da BAKTERIEN???

Die Logs hast du vopm Problemrechner erstellt?

:confused:
ähm.....

also ich habe folgendes gemacht... ich hoffe es ist richtig:

einen leeren Stick genommen und diese Datei vom Alten PC runtergezogen.
Den PC Stick auf den neuen/Problem PC angeschlossen und die version unter "UNTERSUCHEN" laufen gelassen...

die Daten die ich dann auf den PC bekam auf den Stick kopiert und diese dann auf den alten PC übertragen und hier gepostet....

Was war falsch??

Ja es ist mein alter PC... läuft auf XP

Dein alter PC läuft noch mit XP??? Das musst du dringend ändern!

Aber so wie das gemacht hast war richtig. Ich wollte nur sichergehen, dass die Logs auch von dem rechner sind, der die Probleme hat.

Gab es Funde deines Virenscanners?

:taenzer:

ich bin gut :)

der Vierenscanner hat mir, ich glaube es waren 12 Warnungen herausgegeben... bei 13,7% hat der eine Ewigkeit gebraucht.....

Einen direkten Fund nicht...

Folgendes war... der PC war mit einigen SEiten auf, und ich mußte das Haus verlassen, Pc blieb an. Als ich am Abend wieder an den PC gegangen bin um die SEiten zu schließen, hatte ich ständig Werbung auf dem Bildschirm und das war es dann....
Auf der Internetleiste, wo man die internetadressen eingibt, kam der Name des Trojaners..

Jetzt kann ich nicht mehr das Internet aufmachen..... alles irgendwie komisch


ich gehe jetzt mal wieder arbeiten..

Ich hab nicht nur aus Spaß nach Funden gefragt, du musst auch sinnigerweise die Logs dazu posten.

Und einfach nur mit einem Virenscanner rübergehen reicht nicht, der findest nur die Spitze des Eisbergs. Manuelle Nachkontrolle ist immer erforderlich.

Hi,

ich verstehe nicht, was du meinst :confused:
Habe ich was vergessen?


Auf der Arbeit viel mir ein, ich wußte nicht, ob es relevant ist, dass ich nach den ganzen Problemen, das S(üpsilon)stem um 2 Wochen Wiederherstellen lies...!!!!

Liegt es daran???


:confused:

Ok, sry, wenn du nach so vielen Postings hier immer noch nicht weiß was Protokolle sind, dann lassen wir das einfach.

Guten MOrgen,

das finde ich nicht fair!!! Du kennst dich aus, und ich versuche mein Bestes, und jetzt lässt du mich hier so einfach stehen????:pfui:

Ich hoffe doch, du änderst Deine Meinung, und bist bereit mir weiter zu helfen....:heulen:

LG UrSelchen

Ich hab dich mehrmals nach den Protokollen (Logs) der Virenscanner gefragt. Du meintest nur da wären Funde gewesen, wurde entfernt und nun lüppt ja wieder alles.

Wie meinst du soll hier jmd außer dir nachvollziehen WAS GENAU gefunden und entfernt wurde?

Hi,
ich hatte keinen direkte Warnung von meinem Vierenscanner mit einem Namen bekommen. Der Name des Trojaners war auf der Internetleiste zu sehen..... Der Vierenscanner hat auch nichts gelöscht oder in die Quarantäne gesteckt... deswegen bin ich ja hier gelandet, weil ich nicht mehr weiter wußte... und glaub mir, ich habe gewiss auch anderes zu tun, wie meinen PC so intensiv pflegen zu müssen und nichts funktioniert!!!

Was soll ich jetzt, deiner meinung nach tun?

Daten speichern und Format C machen??


Lg UrSelchen

Dann nochmal direkt...ich will wissen was da gewarnt wurde und evtl gefunden wurde.

Wichtig: Bitte alle Logs mit Funden posten

So besser zu vestehen? :D

Guten Morgen,

:stirn: sag es doch gleich... na den Vierenbericht habe ich mir nicht angeschaut.
Ok dann muss ich am Wochenende nochmal den Scanner laufen lassen und ihn dir posten....

Wünsche dir ein schönes wochenende..

Du hättest einfach nur meine erste Antwort richtig lesen müssen...

Guten MOrgen,

anbei den Vierenbericht.

Ich hoffe du kannst was damti anfangen

Und was brauchst du noch?

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hi,

ich habe alles gemacht, wie du geschrieben hast. Er hat auch 2 Malware gefunden, entfernt.....

Ich kann jedoch diesen Bericht NICHT kopieren!!!

Ist das alles so richtig??

ja so war es richtig :)

Bitte nun Avira deinstallieren. Das Teil empfehlen wir schon seit Jahren aus mehreren Gründen nicht mehr. Ein Grund ist ne rel. hohe Fehlalarmquote, der zweite Hauptgrund ist, dass die immer noch mit ASK zusammenarbeiten (Avira Suchfunktion geht über ASK). Auch andere Freewareanbieter wie AVG, Avast oder Panda sprangen auf diesen Zug auf - so etwas ist bei Sicherheitssoftware einfach inakzeptabel. Vgl. Antivirensoftware: Schutz für Ihre Dateien, aber auf Kosten Ihrer Privatsphäre? | Emsisoft Blog

Wenn wir hier durch sind, kannst du auf einen anderen Virenscanner umsteigen.

Gib Bescheid wenn Avira weg ist.

:Boogie::Boogie::Boogie::Boogie::Boogie::Boogie::Boogie::Boogie:

Mein Internet funktionert wieder...... herrlich.... aber der Pc ist sooooo langsam...


Aviva ist nicht mehr drauf... und den PC habe ich auch schon neu gestartet...


und jetzt???

Adware/Junkware/Toolbars entfernen

Alte Versionen von adwCleaner und falls vorhanden JRT vorher löschen, danach neu runterladen auf den Desktop!
Virenscanner jetzt vor dem Einsatz dieser Tools bitte komplett deaktivieren!

1. Schritt: adwCleaner

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

2. Schritt: JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

3. Schritt: Frisches Log mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

hmm.....:eek::eek:

und nun....??? bevor es kam einen
ERROR meldung....Line 8198.....


??? was war falsch??

Ich habe alles gemacht - es sollte eigentlich Neustarten....

ERROR.... ich bekomme noch die Kriese.... grr.

AdwCleaner Logfile:
AdwCleaner Logfile:
[/CODE]
--- --- ---
--- --- ---

der PC fährt nicht von alleine hoch... das mach ich jetzt manuell.....

FRST Additions Logfile:
--- --- ---

[/CODE]
FRST Logfile:
--- --- ---

:kaffee::kaffee: und nun???

Nun bleib doch mal locker! Du brauchst auch nicht bei jedem Thread gleich panisch nachzufragen wie "und jetzt?????????" oder "und nun?????" :(


FRST-Fix

Virenscanner jetzt bitte komplett deaktivieren, damit sichergestellt ist, dass der Fix sauber durchläuft!

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Hi,

es hört sich vielleicht blöd an, aber wie deaktiviere ich FRST-Fix ???

oder meinst du deinstallieren??


LG

Einfach mal die Anleitung richtig lesen. Einfacher zu formulieren geht nicht.

[/CODE]
Entferungsergebnis von Farbar Recovery Scan Tool (x64) Version:02-03-2016
durchgeführt von Ursula (2016-03-03 06:19:30) Run:1
Gestartet von C:\Users\Ursula\Desktop
Geladene Profile: Ursula (Verfügbare Profile: Ursula & Administrator)
Start-Modus: Normal
==============================================

fixlist Inhalt:
*****************
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.avira.net/#web/result?source=art&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-270307100-3745114387-680485844-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-270307100-3745114387-680485844-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://search.avira.net/#web/result?source=art&q=
HKU\S-1-5-21-270307100-3745114387-680485844-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://search.avira.net/#web/result?source=art&q=
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
HKLM-x32\...\Run: [] => [X]
emptytemp:

*****************

HKLM\Software\\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKLM\Software\\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Search Page => Wert erfolgreich wiederhergestellt
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => Wert erfolgreich wiederhergestellt
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL => Wert erfolgreich wiederhergestellt
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Search_URL => Wert erfolgreich wiederhergestellt
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Search_URL => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-270307100-3745114387-680485844-1001\Software\Microsoft\Internet Explorer\Main\\Start Page => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-270307100-3745114387-680485844-1001\Software\Microsoft\Internet Explorer\Main\\Default_Page_URL => Wert erfolgreich wiederhergestellt
HKU\S-1-5-21-270307100-3745114387-680485844-1001\Software\Microsoft\Internet Explorer\Main\\Default_Search_URL => Wert erfolgreich wiederhergestellt
"HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" => Schlüssel erfolgreich entfernt
HKCR\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => Schlüssel nicht gefunden.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => Wert erfolgreich entfernt
EmptyTemp: => 3.1 GB temporäre Dateien entfernt.


Das System musste neu gestartet werden.

==== Ende von Fixlog 06:21:01 ====
[/CODE]

Okay, dann Kontrollscans mit (1) MBAM, (2) ESET und (3) SecurityCheck bitte:


1. Schritt: MBAM

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

2. Schritt: ESET

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

3. Schritt: SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Hi,

heute morgen habe ich dir den Beitrag gepostet, alles OHNE PROBLEME, PC ausgeschaltet....mit dem Ergebnis, dass ich heute abend weiter machen wollte, jedoch habe ich kein Zugriff auf mein Internet.....

Habe ich was falsch gemacht? soll ich die Neuen SChritte wieder mit dem Stick übertragen, oder was ganz anderes machen????


Ich bin ziemlich :confused::confused::confused:

mit so wenig infos kann dir keiner weiterhelfen...

Ok... ich versuche es:

wenn ich den PC einschalte, ist unten rechts in der Taskleiste, in der Netzwerkverbindung ein gelbes Ausrufezeichen. Fahr ich nur mit der Maus drauf, erscheint: NIcht identifiziertes Netzwerk; kein INternetzugriff....

Gehe ich ins Netzwerk: Heisst es: begrenzt unterhalb des Routers

Klick ich auf "Verbinden": Netzwerkanforderungen werden überprüft
das Verbinden mit dem Netzwerk dauert länger als gewöhnlich

Die Verbindung ist eingeschränkt..... und ich kann NIcht ins INternet...


Was für INfos brauchst du noch??
Wo soll ich noch schauen???

Router frü 5 Minuten von der Stromversorgung mal trennen...dann nochmal probieren.

Hi,

das habe ich gestern abend auch schon gemacht, jedoch nur für ne Minute, ohne Erfolg

Jetzt habe ich es noch einmal gemacht,... 5 min. ....:heulen::heulen::heulen:

Nix... zum heulen....


Der alte PC läuft ohne Probleme....:rofl:


Mein Latein ist echt am Ende, und mein Nerven auch bald... :killpc::killpc::killpc:

Dann wird ein Fall für nen neuen Thread hier => Netzwerk und Hardware - Trojaner-Board

Hi,

ich habe den PC wieder zum Laufen gebracht. :Boogie:

Bitte das richtige Log von MBAM posten

Ist der Log richtig? Mein Pc hat im Explorer nichts gefunden.... musste es manuel machen...

Lies doch bitte die Anleitung richtig...nach dem Suchlauf von MBAM das Log speichern...du hast schon wieder ein Protection-Log gepostet und kein Suchlauf-Protokoll.

Hallo Cosinus,

ich muss dich leider vertrösten, jetzt findet mein PC kein Netzwerk mehr. Ich habe schon hier im Board geschrieben unter der jeweiligen Rubrik, ....

Mit dem MBAM.... da muss ich mich wohl noch intensiver ran gehen.. aber erst, wenn Wlan wieder geht....


Ich glaube langsam, Format C wäre die beste Lösung.... so viel Ärger hatte ich schon lange nicht mehr....!!!

:bussi::bussi erstmal danke für deine bisherigen Bemühungen, ich war nicht immer sehr einfach!!!