TR/Patched.Ren.Gen und iBryte unter Windows 10: ich werde sie nicht los.
 

Hallo liebes Trojaner-Board Team,

vor Kurzem musste ich meinen neu Rechner aufsetzen, da eine meiner Festplatten den Geist aufgab. Bin jetzt auf Windows 10 64bit.

Dazu muss ich sagen, dass ich selbstständige Grafikerin bin, der Rechner also sowohl privat als auch gewerblich genutzt wird (aber nur von mir) für grafische Arbeiten. Ich bin aber Einzelkämpfer, d.h. ich habe keine IT-Abteilung, die mir bei meinem Problem helfen kann. Ich habe gelesen, dass ihr Ausnahmen macht und mir ist klar, dass ihr u. U. sensible Daten von meinem Rechner erhaltet. Dennoch hoffe ich, dass ihr mir helfen könnt.

Keine 2 Tage nach der Neuinstallation springt mich auf einmal der Echtzeitscanner von Avira Pro mit folgender Meldung an: Muster 'TR/Patched.Ren.Gen [trojan]' in Datei 'C:\Windows\Temp\a1dd92f1-5714-436f-bf26-f943fc2e956f\tmp0000265f\tmp00008178 gefunden. Durchgeführte Aktion: Zugriff verweigern.

Ich konnte den Virus weder entfernen noch in die Quarantäne verschieben. Ich habe dann den Komplettscan von Avira Pro laufen lassen – kein Fund. Auch der Housecall von Trend Micro hat nichts gefunden. Nun weiss ich aber, dass Avira auch mal Falschmeldungen rausgibt, deswegen habe ich es erstmal dabei belassen und beobachtet.

Ein paar Tage später kriege ich dann eine andere Meldung von Avira (und Adaware, das habe ich zusätzlich drauf, habe jetzt hier im Board aber schon gelesen, dass man das nicht machen sollte):
Muster 'ADWARE/iBryte.bxop [adware]' in Datei 'C:\Windows\Temp\875038cf-f126-4857-bb7c-c8998818385e\tmp00006c27\tmp00000ec7 gefunden. Durchgeführte Aktion: Zugriff verweigern

Er hat also auf einmal mehrere verdächtige Muster gefunden. Ich habe dann im Internet recherchiert und bin dieser Anleitung gefolgt: https://malwaretips.com/blogs/adware-win32-ibryte-removal/.

Danach war erstmal Ruhe, keine Funde mehr. Die Virenmeldung sprang mich indes immer wieder an, aber jeder Komplettscan brachte keinen Fund. Ich bin dann nach dieser Anleitung gegangen: https://malwaretips.com/blogs/tr-patched-ren-gen-removal/
Das hatte aber keinen Effekt, da die gelisteten Programme alle nichts gefunden haben. Auch der Echtzeitscanner hat mir weiterhin die gleiche Meldung gegeben, ein Komplettscan brachte weiterhin null Resultate.

Jetzt, ein paar Tage später habe ich auf einmal wieder den iBryte auf der Platte. Ich bin also wieder nach der o.g Methode vorgegangen. Die Scanner haben auch alle was gefunden, nur kriege ich die Malware diesmal nicht komplett entfernt, Malewarbytes findet auch nach mehreren Durchläufen immer noch verdächtige Dateien.

Ich weiss nicht, ob ich mich im Netz auf einer meiner häufig frequentierten Seiten immer wieder anstecke. Ich dachte, der Browserschutz von Avira würde das verhindern. Vielleicht war es auch einer der Treiber etc., die ich während der Neuinstallation meines Rechners installiert habe.

Ich habe jetzt mehrere Fragen:
1. Wie werde ich die iBryte Malware los?
2. Wie werde ich den Trojaner los?
3. Wie kann ich mich in Zukunft noch besser vor so was schützen?
4. Wie kann ich die Quelle meiner Infektion herausfinden, damit ich mich nicht immer wieder anstecke? (Programm? Internetseite?)
5. Welche Programme eigenen sich für meinen Rechnerschutz am Besten? Ich habe hier jetzt schon mehrfach gelesen, dass Avira nicht so der Hit sein soll. Welches Programm wäre denn geeigneter?

Dazu muss ich sagen, dass dies mein erster Fall von Virenbefall ist und ich mich bisher mit dem Thema nicht auseinandersetzen musste. Ich habe in den anderen Threads gesehen, dass ihr immer sehr kompetente Hilfe anbietet, für mich als Laien liest sich das aber manchmal wie ein Buch mit sieben Siegeln. Wenn ich also mal die ein oder andere Nachfrage stelle, weil ich eure Anweisungen nicht sofort raffe, seht es mir nach :) Vielen Dank schonmal.

:hallo:
Mein Name ist Rafael und ich werde dir bei der Bereinigung helfen.

Damit ich dir optimal helfen kann, halte dich bitte an folgende Regeln:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte oder dir etwas unklar ist, unterbreche deine Arbeit und beschreibe es so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools, welche hier im Thread erwähnt werden und führe sie nur gemäß Anweisung aus
• Bitte antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen
• Wichtig: Nur weil dein Problem mit einem Schritt plötzlich behoben ist, bedeutet das nicht, dass dein PC auch sauber ist. Mache solange weiter, bis ich dir sage, dass dein PC "clean" ist

Los geht's :abklatsch:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Alles klar, kann losgehen *krempelt die Ärmel hoch*

Hier der erste Teil der FRST:

Hier der zweite Teil der FRST:

Erster Teil Addition:

zweiter Teil Addition:

16GB RAM und netter Prozessor :p

Schritt 1
Lade dir folgendes Programm herunter und installiere es: http://filepony.de/icon/tiny/malware...ti_malware.png Malwarebytes Anti-Malware Hier findest du dazu eine bebilderte Anleitung

• Klicke auf die Einstellungen / Erkennung und Schutz und setze dabei den Haken bei "Nach Rootkits suchen"
• Klicke im Anschluss auf Durchsuchen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Suchlaufprotokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Bitte poste in deiner nächsten Antwort also:

• Logfile von AdwCleaner
• Logfile von Malwarebytes
• Frst.txt
• Addition.txt

Bitte poste das nächste Mal in [CODE] Tags und nicht [HTML] Tags :)

Als Grafikerin ist viel RAM unschlagbar :)

So, hier das Logfile vom mbam:

AdwCleaner:

Teil 1 FRST:

Teil 2 FRST:

Teil 1 Addition:

Teil 2 Addition:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hinweis: Dieser Scan kann schon einmal mehrere Stunden dauern...

ESETSmartInstaller@High as downloader log:
all ok
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=0cb3821f0423ea4a86eadacb5460ba3a
# end=init
# utc_time=2016-03-01 06:47:28
# local_time=2016-03-01 07:47:28 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.2.9200 NT
Update Init
Update Download
Update Finalize
Updated modules version: 28374
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# EOSSerial=0cb3821f0423ea4a86eadacb5460ba3a
# end=updated
# utc_time=2016-03-01 06:50:20
# local_time=2016-03-01 07:50:20 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# osver=6.2.9200 NT
# product=EOS
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.7777
# api_version=3.1.1
# EOSSerial=0cb3821f0423ea4a86eadacb5460ba3a
# engine=28374
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2016-03-01 07:47:45
# local_time=2016-03-01 08:47:45 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1031
# osver=6.2.9200 NT
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 94 813606 10675808 0 0
# scanned=377617
# found=0
# cleaned=0
# scan_time=3444

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Weder Avira noch AdAware haben sich bisher wieder gemeldet. Der Echtzeitscanner von Avira hat auch keine Warnung mehr rausgegeben.

Kannst Du mir erklären, was das war? Welches Programm hat denn jetzt den Ausschlag gegeben?

Aus irgend einem Grund war das wohl in deinen temporären Dateien, warum kann ich dir nicht sagen :)

Die Logs von deinem Rechner sehen jetzt für mich sauber aus: Herzlichen Glückwunsch - du bist Clean :daumenhoc



Zum Schluss müssen wir noch etwas aufräumen und ich gebe dir ein paar Hinweise mit auf den Weg:

Entfernen der verwendeten Tools

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde:
   1. Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   2. Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
4. Starte deinen Rechner abschließend neu.

Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.
http://filepony.de/icon/tiny/malware...ti_malware.png Malwarebytes Anti-Malware und http://filepony.de/icon/tiny/eset_online_scanner.pngESET kannst du als Ergänzung zu deiner bestehenden Antivirus-Lösung auf dem Computer belassen und deinen Computer damit regelmäßig scannen.



Persönliche Empfehlungen

Aktiviere unbedingt die automatischen Updates von Windows und stelle auch sicher, dass diese regelmäßig installiert werden.


Verwende immer ein Antivirenprogramm und stelle sicher, dass es sich regelmäßig aktualisiert (sollte Standard sein).
Meine Empfehlungen dazu:

• http://filepony.de/icon/tiny/emsisoft_anti_malware.pngEmsisoft (25% Rabatt für Trojaner Board Mitglieder)
• http://deeprybka.trojaner-board.de/eset/ESET_logo.pngESET Antivirus

Aktiviere immer eine Firewall - die in Windows integrierte reicht dazu vollkommen aus.


Verwende nach Möglichkeit nicht den Internet Explorer oder unter Windows 10 den Browser Edge, da diese Browser wegen ihrer großen Verbreitung sehr häufig Ziel von Angriffen sind. Trotzdem achte darauf, dass auch dieser Browser durch die Windows Updates aktuell gehalten wird.
Meine Empfehlungen dazu:

• http://filepony.de/icon/tiny/google_chrome.pngGoogle Chrome -- aktualisiert selbstständig Plugins, ausgezeichnete HTML 5 Unterstützung
• http://filepony.de/icon/tiny/firefox.pngMozilla Firefox

Dazu gibt es einige praktische Add-ons:

• https://getadblock.com/favicon.icoAdblock (Firefox) -- Blockiert Werbung. Werbung kann sehr nervig sein, aber auch auf schädliche Links verweisen.
• http://filepony.de/icon/tiny/wot_chrome.pngWeb Of Trust -- Zeigt Userbewertungen zu besuchten Internetseiten an und kann so vor Phishing und Betrug schützen.
  

Halte immer deine Plug-ins und Software aktuell, am wichtigsten ist:

• Dein Browser
• http://filepony.de/icon/tiny/flashplayer_firefox.pngFlash Player
• http://filepony.de/icon/tiny/jre_64.pngJava
• http://filepony.de/icon/tiny/adobe_reader.pngPDF Reader

Tipp: Deinstalliere am besten Flash Player und Java komplett, häufig benötigt man diese Anwendungen überhaupt nicht mehr.


Du kannst dir http://filepony.de/icon/tiny/malware...ti_exploit.pngMalwarebytes Anti-Exploit installieren. Es schützt gegen viele aktuelle Sicherheitslücken und erhöht so deine Sicherheit.


Tipps, um dein System sicherer zu machen

Pass auf, wenn du dir Software aus dem Internet herunterlädst! Viele Portale im Internet wie Chip, Softonic und Sourceforge versuchen häufig, dir Adware oder sonstige Downloader mit unerwünschten Programmen unterzujubeln. Downloade nach Möglichkeit immer direkt von der Herstellerseite oder alternativ von einem sauberen Download-Portal, wie von FilePony.de.
Lese dir dazu auch folgenden Artikel durch: CHIP-Installer - was ist das? - Anleitungen

Selbst wenn du ein Programm von einer seriösen Quelle heruntergeladen hast, ist das keine Garantie, dass dein Programm nicht doch versucht, unerwünschte Änderungen an deinem Computer vorzunehmen. So versuchen immer mehr Programme, durch modifizierte Installationsroutinen unerwünschte Programme mit auf deinen PC zu schleusen. Das klappt leider auch häufig, weil viele Anwender nicht lesen, was auf dem Bildschirm steht und stattdessen schnell durchklicken.
Deshalb: Wenn du ein Programm installierst, wähle immer die benutzerdefinierte Installation und schaue, was du da gerade eigentlich alles mit einem Klick auf "Ok" oder "Weiter" abnickst - entferne entsprechend die Haken bei Dingen, die du nicht möchtest. Wer lesen kann, ist klar im Vorteil!

Ein Tool, welches dich dabei gut unterstützen kann, ist: http://filepony.de/icon/tiny/unchecky.pngUnchecky. Dieses überwacht im Hintergrund Installationsprozesse und hakt automatisch nervige Adwarekomponenten wie Toolbars ab. Falls man etwas übersieht, warnt noch ein Pop-up, bevor man fortfahren kann.


Benutze keine Optimizer, Cleaner oder sonstige SpeedUp Wunder, da diese Tools fast nie einen auch nur messbaren Performancegewinn bringen.
Du kannst jedoch regelmäßig auf deinem PC die Datenträgerbereinigung ausführen, so gewinnst du belegten Speicherplatz zurück.


Ändere regelmäßig deine Passwörter! Zudem musst du sichere Passwörter benutzen, das bedeutet: mindestens 8 Zeichen, Groß- und Kleinbuchstaben und Sonderzeichen.
Ganz wichtig: benutze pro Account ein anderes Passwort!
Tipp: Benutze einen Spruch, den du dir leicht merken kannst, als Hilfe für ein Passwort! Zum Beispiel: Der Himmel ist blau und wenn es regnet?-grau ==> DHibuwer?-grau


Unterstütze uns und empfiehl uns weiter

Du kennst Freunde und Bekannte, die Probleme mit ihrem Computer haben? Schick sie doch zu uns auf das Trojaner Board, wir helfen gerne :daumenhoc

Wenn du uns mit einer Spende unterstützen möchtest, freuen wir uns sehr und dies kannst du hier tun: http://www.trojaner-board.de/79994-s...ndenkonto.html Herzlichen Dank dafür :party:

Wir machen diese Tätigkeit hier freiwillig, darum freue ich mich besonders über ein kurzes Danke wenn du mit mir zufrieden warest oder sonst über Verbesserungsvorschläge - das kannst du gerne hier machen :)

Besuche und like unsere Facebook-Seite! http://3.bp.blogspot.com/--h4eLCX9kl...ike-symbol.png

:abklatsch: Danke für deine Mitarbeit und alles Gute! :abklatsch:

Bitte gib mir Bescheid, wenn du das alles gelesen hast und du keine weiteren Fragen mehr hast, damit ich dieses Thema aus meinen Abos löschen kann.

Hallo,

vielen Dank für Deine Hilfe. Ich hab mir alles durchgelesen und werde es beherzigen. Ich habe keine weiteren Fragen mehr. :daumenhoc