Patched.Ren.Gen again
 

Hallo,
ich habe Besuch von Patched.Ren.Gen bekommen - nicht das erste Mal. Avira meldet quasi täglich eine Warnung. Das Netbook wurde bereits einmal durch Anleitung von T-B gereinigt und entsprechende Schutzprogramme installiert. Bisher bin ich davon ausgegangen, dass der Trojaner beim Besuch einer Website auf den Rechner gelangt. Er platziert sich im windows/temp Ordner. Allerdings wird der entsprechende Ordner kurz nach Systemstart erstellt, was meiner Meinung nach gegen einen Webbesuch spricht, sondern irgendwo im Bootverzeichnis, Systemstart oder Autoupdate liegt.
Ein frisches frst-Log (frst/addition) poste ich direkt mit. Über Hilfe freue ich mich!

hi,

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es eine Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hallo Schrauber,
freut mich, dass Du Dich meines Problems annimmst.
Da die Combofix.txt zu lang zum posten und zu groß als Dateianhang ist, hab ich diese als zip-Datei hochgeladen. Anhang 64811

Und da üblicherweise darauf ein Malwarebytes-Scan erfolgt, hier schon einmal die Log-Datei:

Nice :)

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

btw: Ich war so frei, die 'Standardprezedur' bevor ich mich hier memeldet habe selber durchzuführen, jedoch ohne frst. Am nächsten Tag war Freund Ren.Gen jedoch wieder da...

Übrigens: Die Firefoxeinträge vom AdwCleaner tauchen jedes Mal auf.

JRT sagte während des Scans 'Error Zugriff auf Registry verweigert'



Und das frische FRST

FRST Logfile:
--- --- ---

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

:) Bereits jetzt schon keine mehr. Werde trotzdem Eset & SC laufen lassen. Bis später.

Wie war das, man soll den Tag nicht vor dem Abend...
14.2. Fund, 15.2. kein Fund, 16.2. kein Fund, 17.2. Fund
Avira hat heute wieder angeschlagen:
Den Laptop hab ich um ca. 7:57 Uhr eingeschaltet. Der Temp-Ordner in dem Avira heute Mittag Ren.Gen fand, wurde heute um 7:57:18 erstellt...
"In der Datei 'C:\WINDOWS\Temp\b31cfb54-7db4-4771-8596-4287420b2aeb\tmp0000130d\tmp00007239'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Ren.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern"

Lass genau die Datei bitte mal bei www.virustotal.com scannen. Ich tippe mal 0/50 :)

Interessant: Keine der gemeldeten Dateien befindet sich an ihrem Platz in C:\WINDOWS\Temp\....
Dort ist jeweils nur eine 'tmp00000000' (ohne Endung wie .xyz) mit 0 KB. Auch das Quarantäneverzeichnis von Avira ist leer. Und die Dateisuche blieb auch ohne Ergebnis. Ärgere ich mich gerade umsonst mit etwas herum was gar nicht da ist -> Falsche Fehlermeldung?
:confused:

Warte einfach ab, Avira wird schon wieder meckern, dann nicht in Quarantäne packen sondern bei VT prüfen :)

Hm, Problem: Avira meckert nicht (mehr). Jedoch kann ich in den Ereignissen die genannte Warnung sehen. Soll ich das ignorieren? Im Quarantäneverzeichnis ist ja auch nix. Und in der Quarantäne scheint auch nix neues zu landen....

Das sind ja alte Ereignisse, normal dass die da stehen.

Das sind keine alten Einträge, die schreibt mit Avira jeden Tag auf's neue rein. So wie heute:
In der Datei 'C:\WINDOWS\Temp\ecc02c68-97e1-4179-be4e-dea2e1769eae\tmp00005708\tmp000073af'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.Ren.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Das ist aber dann ein aktueller Fund. Und ein Fehlalarm :)

Also kann ich die Meldung getrost ignorieren?
Nun, dann hab ich den ganzen Kram umsonst gemacht.
Ok, ich sehe das mal als Übung an :crazy:

Wenn das eine Fehlermeldung ist, die da täglich um 12:14 Uhr reinkommt, dann sage ich herzlichen Dank für die Lösung. Bin jetzt beruhigter.

Bis zum nächsten Mal :abklatsch: