Trojaner-Board - Win10: TR/Cypt.ZPACK.Gen durch Avira gefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Win10: TR/Cypt.ZPACK.Gen durch Avira gefunden (https://www.trojaner-board.de/196511-win10-tr-cypt-zpack-gen-avira-gefunden.html)

Zitat:

Zitat von M-K-D-B (Beitrag 1723453)

Schritt 5

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\3.0.127.0\\McCSPServiceHost.exe" [X] C:\Program Files\Common Files\McAfee S3 mfeavfk01; \Device\mfeavfk01.sys [X] S3 mfeavfk02; \Device\mfeavfk02.sys [X] ContextMenuHandlers1: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} => -> Keine Datei ContextMenuHandlers2: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} => -> Keine Datei AlternateDataStreams: C:\Users\Namename\AppData\Local\Temp:$DATA [16] DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TBDEn|SBOEM0 Hosts: EmptyTemp: End::
Starte nun FRST und klicke direkt den Entfernen Button.Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
Gegebenenfalls muss dein Rechner neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Ich habe alles nach Anleitung befolgt, nur erhielt ich mitten im Löschvorgang eine Warnung von Avira: "Hosts-Datei blockiert". Gleichzeitig wurde ich noch gedrängt, den PC herunterzufahren. Beim Hochfahren wollte ich den Log auslesen, und bekam vom FRST folgende Meldung: "Line 17349 (File "C\Users\Namename\Desktop\FRST.exe"): Error: Variable used without being declared.". (Hier Links zu Screenshots, falls erlaubt. https://www.directupload.net/file/d/5587/hry8el3p_png.htm und https://www.directupload.net/file/d/5587/e2owi4q6_png.htm

Es wurde kein Log von FRST erstellt. Auch lässt sich FRST nicht mehr starten, die obige Fehlermeldung ["Line 17349 (File "C\Users\Namename\Desktop\FRST.exe"): Error: Variable used without being declared."] erscheint beim öffnen. Beim drücken von "OK" schließt sich das Programm.

Zitat:

Zitat von namename (Beitrag 1723455)

Ich habe alles nach Anleitung befolgt, nur erhielt ich mitten im Löschvorgang eine Warnung von Avira: "Hosts-Datei blockiert".

Das ist auch so ein Grund, warum wir Avira nicht mehr empfehlen... es blockiert unsere Bereinigungen.
Dann gehst du bitte jetzt in die Einstellungen von Avira und deaktivierst diesen Schutz (Avira > Einstellungen > Allgemein > Sicherheit > Systemschutz).

Zitat:

Zitat von namename (Beitrag 1723455)

Gleichzeitig wurde ich noch gedrängt, den PC herunterzufahren. Beim Hochfahren wollte ich den Log auslesen, und bekam vom FRST folgende Meldung: "Line 17349 (File "C\Users\Namename\Desktop\FRST.exe"): Error: Variable used without being declared.". (Hier Links zu Screenshots, falls erlaubt. https://www.directupload.net/file/d/5587/hry8el3p_png.htm und https://www.directupload.net/file/d/5587/e2owi4q6_png.htm

Es wurde kein Log von FRST erstellt. Auch lässt sich FRST nicht mehr starten, die obige Fehlermeldung ["Line 17349 (File "C\Users\Namename\Desktop\FRST.exe"): Error: Variable used without being declared."] erscheint beim öffnen. Beim drücken von "OK" schließt sich das Programm.

Danke für die Fehlermeldung. Ich habe diese an den Entwickler von FRST weitergeleitet. :)

Lösche die vorhandene FRST.exe, lade das Programm neu herunter und versuche es nochmal (aber erst, wenn du den Schutz von Avira deaktiviert hast).

Danke für die Hilfe!

Fixlog.txt

Code:

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 28-09-2019

durchgeführt von Namename (28-09-2019 17:38:20) Run:1

Gestartet von C:\Users\Namename\Downloads

Geladene Profile: Namename &  (Verfügbare Profile: Namename)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

HKLM\...\Run: [] => [X]

HKLM-x32\...\Run: [] => [X]

S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\3.0.127.0\\McCSPServiceHost.exe" [X]

C:\Program Files\Common Files\McAfee

S3 mfeavfk01; \Device\mfeavfk01.sys [X]

S3 mfeavfk02; \Device\mfeavfk02.sys [X]

ContextMenuHandlers1: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} =>  -> Keine Datei

ContextMenuHandlers2: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} =>  -> Keine Datei

AlternateDataStreams: C:\Users\Namename\AppData\Local\Temp:$DATA [16]

DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TBDEn|SBOEM0

Hosts:

EmptyTemp:
 

*****************
 

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\" => nicht gefunden

"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => nicht gefunden

mccspsvc => Dienst nicht gefunden.

"C:\Program Files\Common Files\McAfee" => nicht gefunden

mfeavfk01 => Dienst nicht gefunden.

mfeavfk02 => Dienst nicht gefunden.

HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\CLVDShellExt => nicht gefunden

HKLM\Software\Classes\CLSID\{3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} => nicht gefunden

HKLM\Software\Classes\Drive\ShellEx\ContextMenuHandlers\CLVDShellExt => nicht gefunden

HKLM\Software\Classes\CLSID\{3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} => nicht gefunden

"C:\Users\Namename\AppData\Local\Temp" => ":$DATA" ADS nicht gefunden.

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TBDEn\\SBOEM0" => nicht gefunden

Hosts erfolgreich wiederhergestellt.
 

=========== EmptyTemp: ==========
 

BITS transfer queue => 12099584 B

DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 22278373 B

Java, Flash, Steam htmlcache => 0 B

Windows/system/drivers => 92049 B

Edge => 3584 B

Chrome => 0 B

Firefox => 55354209 B

Opera => 0 B
 

Temp, IE cache, history, cookies, recent:

Default => 0 B

Users => 0 B

ProgramData => 0 B

Public => 0 B

systemprofile => 0 B

systemprofile32 => 0 B

LocalService => 2654 B

LocalService => 0 B

NetworkService => 0 B

NetworkService => 0 B

Namename => 35227509 B
 

RecycleBin => 143619065 B

EmptyTemp: => 256.2 MB temporäre Dateien entfernt.
 

================================
 
 

Das System musste neu gestartet werden.
 

==== Ende von Fixlog 17:38:30 ====

Ich konnte ich den Fixlog des ersten Durchlaufes finden, jener, der durch die Fehlermeldung unterbrochen wurde (falls irgendwie hilfreich).

Fixlog.txt Nr0

Code:

Entfernungsergebnis von Farbar Recovery Scan Tool (x64) Version: 25-09-2019

durchgeführt von Namename (26-09-2019 20:33:41) Run:1

Gestartet von C:\Users\Namename\Desktop

Geladene Profile: Namename (Verfügbare Profile: Namename)

Start-Modus: Normal

==============================================
 

fixlist Inhalt:

*****************

HKLM\...\Run: [] => [X]

HKLM-x32\...\Run: [] => [X]

S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\3.0.127.0\\McCSPServiceHost.exe" [X]

C:\Program Files\Common Files\McAfee

S3 mfeavfk01; \Device\mfeavfk01.sys [X]

S3 mfeavfk02; \Device\mfeavfk02.sys [X]

ContextMenuHandlers1: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} =>  -> Keine Datei

ContextMenuHandlers2: [CLVDShellExt] -> {3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} =>  -> Keine Datei

AlternateDataStreams: C:\Users\Namename\AppData\Local\Temp:$DATA [16]

DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TBDEn|SBOEM0

Hosts:

EmptyTemp:
 

*****************
 

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt

"HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => erfolgreich entfernt

HKLM\System\CurrentControlSet\Services\mccspsvc => erfolgreich entfernt

mccspsvc => Dienst erfolgreich entfernt

"C:\Program Files\Common Files\McAfee" => nicht gefunden

HKLM\System\CurrentControlSet\Services\mfeavfk01 => erfolgreich entfernt

mfeavfk01 => Dienst erfolgreich entfernt

HKLM\System\CurrentControlSet\Services\mfeavfk02 => erfolgreich entfernt

mfeavfk02 => Dienst erfolgreich entfernt

HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\CLVDShellExt => erfolgreich entfernt

HKLM\Software\Classes\CLSID\{3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} => nicht gefunden

HKLM\Software\Classes\Drive\ShellEx\ContextMenuHandlers\CLVDShellExt => erfolgreich entfernt

HKLM\Software\Classes\CLSID\{3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2} => nicht gefunden

"C:\Users\Namename\AppData\Local\Temp" => ":$DATA" ADS nicht gefunden.

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TBDEn\\SBOEM0" => erfolgreich entfernt

Konnte nicht verschoben werden "C:\Windows\System32\Drivers\etc\hosts" => ist geplant bei Neustart verschoben zu werden.
 

=========== EmptyTemp: ==========
 

BITS transfer queue => 12099584 B

DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 469704463 B

Java, Flash, Steam htmlcache => 86065856 B

Windows/system/drivers => 753407 B

Edge => 21856634 B

Chrome => 0 B

Firefox => 1118988210 B

Opera => 35347969 B
 

Temp, IE cache, history, cookies, recent:

Default => 0 B

Users => 0 B

ProgramData => 0 B

Public => 0 B

systemprofile => 1186642 B

systemprofile32 => 0 B

LocalService => 61110 B

LocalService => 0 B

NetworkService => 114012 B

NetworkService => 0 B

Namename => 20786614 B
 

RecycleBin => 511198 B

EmptyTemp: => 1.6 GB temporäre Dateien entfernt.
 

================================
 

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 26-09-2019 20:35:38)
 

C:\Windows\System32\Drivers\etc\hosts => erfolgreich verschoben
 

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 26-09-2019 20:36:19)
 

C:\Windows\System32\Drivers\etc\hosts => ist erfolgreich verschoben
 

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 26-09-2019 20:36:22)
 

C:\Windows\System32\Drivers\etc\hosts => ist erfolgreich verschoben
 

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 26-09-2019 20:37:04)
 

C:\Windows\System32\Drivers\etc\hosts => ist erfolgreich verschoben
 

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 26-09-2019 20:52:45)
 

C:\Windows\System32\Drivers\etc\hosts => ist erfolgreich verschoben
 

Ergebnis der geplanten Datei-Verschiebungen (Start-Modus: Normal) (Datum&Uhrzeit: 27-09-2019 00:52:33)
 

C:\Windows\System32\Drivers\etc\hosts => ist erfolgreich verschoben

Wie läuft der Rechner aktuell?
Gibt es noch Probleme?

Schritt 6
Führe ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Zitat:

Zitat von M-K-D-B (Beitrag 1723569)

Wie läuft der Rechner aktuell?
Gibt es noch Probleme?

Der Rechner aktuell läuft ohne ungewöhnliche Probleme (heißt hier und dort Mal einen Ruckler, nichts besorgniserregendes). Was mir nur immernoch Sorgen bereitet, ist die Angst vor Hintertüren die der mutmaßliche Trojaner eventuell installiert haben könnte. Konntest du dazu möglicherweise irgendetwas finden? Auch verstehe ich nicht, wieso ich beim Versuch den .zip Ordner zu löschen keine Rechte dazu hatte. Darüber denke ich noch immer nach. :/

Ansonsten bedanke ich mich für deine tolle Hilfe und Unterstützung!
Vielen Dank! :D

=====================

Hier die ausführliche Log Datei

Log.txt

Code:

17:39:00 # product=EOS

# version=8

# ESETOnlineScanner_DEU.exe=3.1.10.0

# country="Germany"

# lang=1031

17:39:45 Updating

17:39:45 Update Init

17:39:47 Update Download

17:41:18 esets_scanner_reload returned 0

17:41:18 g_uiModuleBuild: 42930

17:41:18 Update Finalize

17:41:18 Call m_esets_charon_send

17:41:18 Call m_esets_charon_destroy

17:41:18 Updated modules version: 42930

17:41:28 Call m_esets_charon_setup_create

17:41:28 Call m_esets_charon_create

17:41:28 m_esets_charon_create OK

17:41:28 Call m_esets_charon_start_send_thread

17:41:28 Call m_esets_charon_setup_set

17:41:28 m_esets_charon_setup_set OK

17:41:28 Scanner engine: 42930

18:55:23 # product=EOS

# version=8

# flags=0

# av=0

# fw=7

# admin=1

# ESETOnlineScanner_DEU.exe=3.1.10.0

# EOSSerial=c8658783609e324686b1da98977ad09d

# engine=42930

# end=finished

# bannerClicked=0

# remove_checked=true

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# sfx_checked=true

# utc_time=2019-09-29 16:55:23

# local_time=2019-09-29 18:55:23 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1031

# osver=10.0.17134 NT 

# compatibility_mode_1='Avira Antivirus'

# compatibility_mode=1815 16777213 100 94 4600 16538827 0 0

# compatibility_mode_1=''

# compatibility_mode=5893 16776574 100 94 266518 46286485 0 0

# scanned=407788

# found=0

# cleaned=0

# scan_time=2878

# scan_type=2

# flow=2019-09-29 17:39:11|scr|eula|2019-09-29 17:39:13|promo|eis|2019-09-29 17:39:13|scr|welcome|2019-09-29 17:39:17|scr|consents|2019-09-29 17:39:21|scr|scan_type|2019-09-29 17:39:28|scr|pua|2019-09-29 17:39:45|scr|updating|2019-09-29 17:41:18|scr|scanning|2019-09-29 18:29:17|scr|no_threats|2019-09-29 18:54:46|click|save_report|2019-09-29 18:55:04|scr|periodic_offer|2019-09-29 18:55:14|scr|upsell|2019-09-29 18:55:21|scr|thanks

# periodic=0,0

# stats_enabled=1

18:55:24 Call m_esets_charon_send

18:55:24 Call m_esets_charon_destroy

Zitat:

Zitat von namename (Beitrag 1723580)

Wir haben lediglich etwas unerwünschte Software entfernt. In den Logdateien fanden sich keine Hinweise auf Schadsoftware.
Gut möglich, dass Avira noch Zugriff auf das .zip Archiv hatte und daher ein Löschen nicht möglich war. Meist lässt sich dies durch einen Neustart des Rechners beheben.

Zitat:

Zitat von namename (Beitrag 1723580)

Ansonsten bedanke ich mich für deine tolle Hilfe und Unterstützung!
Vielen Dank! :D

Gern geschehen.

Schritt 7

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: DeleteQuarantine: Reboot: End::
Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Dann wären wir durch!
Wenn du keine Probleme mehr mit Malware hast, dann sind wir hier fertig. Deine Logdateien sind sauber. :daumenhoc

Abschließend bitte noch einen Cleanup mit unserem TBCleanUpTool durchführen und unbedingt die Sicherheitsmaßnahmen lesen und umsetzen - beides ist in folgendem Lesestoff verlinkt:

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Zitat:

Zitat von M-K-D-B (Beitrag 1723582)

Kopiere den gesamten Inhalt der folgenden Code-Box:

Code:

Start:: DeleteQuarantine: Reboot: End::
Starte nun FRST und klicke direkt den Entfernen Button. Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Lesestoff:
Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wenn Du möchtest, kannst Du hier sagen, ob du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:
Vielleicht möchtest du das Forum mit einer kleinen Spende https://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Hinweis:
Bitte gib mir eine kurze Rückmeldung, sobald du die oben verlinkten Informationen gelesen hast, alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

Ich denke, ich habe das alles leider etwas falsch verstanden (schätze ich). Ich habe nach dem Entferndurchlauf von FRST direkt die CleanUp Datei gestartet. Ich hatte den Log sicherheitshalber in einer Word Datei gespeichert. Leider wurde diese Word Datei durch CleanUp ebenfalls entfernt (wahrscheinlich weil diese [Word Datei] auf dem Desktop gespeichert war). Was die Anleitung (der Lesestoff) betrifft, habe ich die beschriebenen Schritte so weit wie möglich befolgt.

Danke nochmals für deine Hilfe! Das ist bestimmt keine leichte Arbeit hier und ich wünsche dir und dem Forum nur das Beste für die Zukunft!
(Was den fehlenden Log angeht, gibt es da irgendetwas zu retten, oder "passt" das ganze soweit (da ja keine Schadsoftware, sondern nur Bloatware gefunden wurde)? Tut mir wirklich leid!)

Das mit der fehlenden Logdatei ist nicht so schlimm, passt schon. :) :abklatsch:

Ich bin froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.