Gen:Variant.Kazy.707123 als repair.exe unter c:\programdata\
 

Hallo
habe dummerweise einen Mailanhang angeklickt :headbang:, bitte um Hilfe bei der Entfernung des Schädlings

Symptome unter Windows 10:
im Taskmanager läuft eine repair.exe, der Prozess startet sofort wieder, wenn man ihn im abschiesst, nach reboot läuft der Prozess wieder
unter c:\programdata\ finden sich 2 versteckte Ordner
c:\programdata\704520 mit der repair.exe
c:\programdata\704520 mir kryptischen Dateien ohne Endung
Die exe und die Ordner lassen sich nicht löschen, weil in Verwendung

habe die Platte jetzt ausgebaut und an mein Laptop gehängt, um diese repair.exe bei virustotal hochzuladen
Ergebnis:
Ad-Aware Gen:Variant.Kazy.707123 Aktualisierung 20150809
AhnLab-V3 Trojan/Win32.Inject 20150809
Arcabit Trojan.Kazy.DACA33 20150809
Avira TR/Dropper.MSIL.181588 20150809
BitDefender Gen:Variant.Kazy.707123 20150809
ESET-NOD32 a variant of MSIL/Injector.LHB 20150809
Emsisoft Gen:Variant.Kazy.707123 (B) 20150809
GData Gen:Variant.Kazy.707123 20150809

die anderen Anbieter kennen den scheinbar noch nicht

FileVersionInfo
Publisher SecureMix LLC
Product GlassWire
Original name 0908.exe
Internal name 0908.exe
File version 1.1.15.0b
Description GlassWire

ich habe http://www.trojaner-board.de/69886-a...-beachten.html gelesen,
Frage: soll ich mit der befallenen Platte booten und die Anweisungen durchführen? Ich weiß ja nicht was dieser Trojaner? macht, solange der Rechner läuft. Wenn ja, soll ich den Rechner dabei solange vom Netz nehmen?

:hallo:

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld :)

Einfach booten, die Logs machen. Internet wirst du sowieso brauchen, also lass gleich angesteckt.

logs
 

Hallo Deathkid535

hier meine logs

das gmer stürzt immer mit bluescreen ab, wenn der Haken bei IAT/EAT nicht gesetzt ist (mehrfach versucht), ATTEMPTED_WRITE_TO_READ_ONLY (win32k.sys)
mit Haken läuft es durch

nochmal gmer
 

neuer versuch gmer.txt

Lass GMER, is mit Win 10 noch nicht kompatibel :).

Ich meld mich bald mit neuen Anweisungen.

Ich vermute mal, das hier sind die interessanten Stellen in den txt?

PS: ich bin einen Schritt weiter

Zuerst habe ich versucht, per Regedit den Schlüssel mit repair.exe aus der Registry zu löschen, der wurde aber sofort wieder eingefügt

dann habe ich Windows im abgesicherten Modus "Aternativer Shell" gestartet und im DOS-Fenster die beiden Verzeichnisse unter c:\programdata gelöscht
danach wieder ins normale Windows und dann ließen sich diese beiden Registry-Einträge löschen/ändern
jetzt taucht diese Task "repair.exe" nicht mehr auf, die Verzeichnisse sind dauerhaft weg

gmer zeigt jetzt dieses log (allerdings mit Haken bei IAT/EAT) gesetzt
GMER Logfile:
--- --- ---

vorher sah es so aus...

GMER Logfile:
--- --- ---

bin ich jetzt sauber? traue dem Rechner irgendwie noch nicht so ganz

Zeig mal neue FRST-Logs, dann kann ich dir mehr sagen :)

neue FRST logs
 

Hallo, hier die neuen logs

diese hidden SystemDatei kommt mir noch spanisch vor, die ist etwa zu dem Zeitpunkt entstanden, wo ich mir gestern den Trojaner eingetreten hab
scheint aber alleine nicht aktiv zu werden

C:\ProgramData\46eb0065973e3bedb34adf8d685bc929c3681a88

es gibt auch passende Registryeinträge

[HKEY_CURRENT_USER\SOFTWARE]
"MTX"="46eb0065973e3bedb34adf8d685bc929c3681a88"

[HKEY_USERS\S-1-5-21-1173972119-1958917431-298874125-1000\SOFTWARE]
"MTX"="46eb0065973e3bedb34adf8d685bc929c3681a88"

weg damit?

Hi,

zukünftig bitte so posten:



Jo, das machen wir jetzt :). Danach noch ein paar Kontrollscans.

Schritt # 1: FRST-Fix

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt # 2: MBAM

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt # 3: ESET


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt # 4: SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.


Schritt # 5: FRST

Bitte noch ein frisches FRST-Log :)



Schritt # 6: Bitte Posten

• Das Fixlog von FRST
• Das Log von MBAM
• Das Log von ESET
• Das Log von SecurityCheck
• Das frische FRST-Log

Schritt 1: FRST

Beim Ausführen dieser Fixlist.txt mit dem Entfernen-Button kam folgende Meldung
Schwerwiegender Feher: Das Menü "Start" und Cortana funktionieren nicht. Wir bemühen uns, das Problem bis zur nächsten Anmeldung
zu beheben.
Dann hat das System ohne weitere Rückfrage rebootet - neuer Versuch "Entfernen mit Fixlist" - gleiche Meldung
FRST sagt aber, Durchlauf erfolgreich -> reboot
obwohl im Fixlog steht "C:\ProgramData\46eb0065973e3bedb34adf8d685bc929c3681a8" => Datei/Ordner nicht gefunden.
war sie danach noch vorhanden, habe sie dann manuell gelöscht
Die beiden Ordner c:\programdata\704520 und c:\programdata\704520 hatte ich ja schon gestern gelöscht
Kontrolle: alle in der Fixlist.txt genannten keys unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\... waren erfolgreich entfernt
Habe zusätzlich den hier manuell entfernt
[HKEY_CURRENT_USER\SOFTWARE] "MTX"="46eb0065973e3bedb34adf8d685bc929c3681a88"

Schritt 2: MBAM

Schritt 3: ESET

Schritt 4: Security Check

Schritt 5: FRST log

FRST Logfile:
--- --- ---

PS: Java und Thunderbird aktualisiert :pfeiff:

Wir sind noch nicht fertig hier ;) Neue Anweisungen kommen, sobald mein Ausbilder drübergeschaut hat :)

Klar, ich hab Geduld - macht langsam Spass

mit diesen logs lässt man ganz schön die Hosen runter (zeig mir deine logs und ich sag dir wer du bist :)

Hi,

FRST ist noch nicht 100% mit Windows 10 kompatibel, aber es macht meistens was es soll :)

Schritt # 1: MBAR

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


Schritt # 2: FRST

Bitte noch ein frisches FRST-Log, Additions.txt anhaken



Schritt # 3: Frage

Noch Probleme? :)



Schritt # 4: Bitte Posten

• Das Log von MBAR
• Das Log von FRST

Beim Starten von mbar.exe kommt eine Meldung, siehe Screenshot, ich mal auf "Nein" geklickt

logs
 

1. logs

2. Probleme

das hier ist mir mehrfach aufgefallen, evtl. ESET auch noch nicht ganz WIN10 kompatibel

Ansonsten scheint jetzt alles in Ordnung. 100%ige Sicherheit gibt's sowieso nicht :dankeschoen: