• Hallo Gast, du kaufst gerne günstig ein und erfährst oft vor deinen Freunden von interessanten Angeboten? Dann kannst du dein Talent als Schnäppchenjäger jetzt zu Geld machen und anderen PCGH-Lesern beim Sparen helfen! Schau einfach mal rein - beim Test der Community Deals!

Trojaner , Fragestellung / Entfernun zu 100% wie?

Piratentruppe33

Komplett-PC-Käufer(in)
Ich habe mir irgenwo vermutlich als meine Schwester mal am PC war:D ach gott, ein Trojaner eingefangen, soweit konnte ich relativ viel entfernen bin mir aber bzgl. folgender Punkte nicht sicher, da sich im Internet auch die Geister streiten einerseits in C: unter Programme der Ordner rempl, dieser ist nämlich in etwa zur gleichen Zeit mit dem Trojaner ins System gekommen laut Erstellugsdatum, da dies nicht zur Deinstallation bereit steht, kann ich den Ordner schlichtweg mit der Gutmanmethode vom PC hauen,
dann in Programme und Features "Update for Windows 10 for x64-based systems (KB4023057)/ kam halt auch zur gleichen Zeit wie die ganze Schadesoftware/Malware etc. die ich mir eingefangen habe, da laß ich in etwa auch folgendes zu:
Seltsames angebliches Windows-Programm installiert | ComputerBase Forum

Die Signatur ist mir nicht möglich einzusehen, beim rempl Ordner, den rempl Ordner habe ich über den Prozess sedsvc bemerkt dieser startet vehement neu mit digitaler Signatur von Microsoft Windows ist er aber hinterlegt, ist aber auch in dem Zeitraum auf dem Computer dazu gekommen.

Der Prozess PnkBstrA ist zu großteils als Punkbuster vermutlich von Steam oder Origin nehme ich mal an nachzulesen, oder steckt hier auch schädliches hinter.

Hauptproblem ist immer das ständige öffnende Fenster von r.srvtrck.com , da bin gerade noch dran zu entfernen, falls ich hier noch was wichtiges zu wissen hätte?!

"Please support this add-on by enabling the monetisation feature. It allows merchant sites that you shop from to generate revenue for this addon developer. This involves setting cookies on merchant sites of your visit which will tag the developer of this addon as the referrer where he will be compensated.

Merchant sites visited will be forwarded through Apache Tomcat Examples, to set a cookie which will tag this developer as the referrer. Tracking is provided by www.Yielkit.com (Apache Tomcat Examples)

The merchant domains you visit will be sent to the tracking provider (Apache Tomcat Examples) The listing of which can be found in the privacy policy https://addons.mozilla.org/en-US/firefox/addon/webpage-to-pdf/privacy/. .

Detailed information
"

Allgemein wollte ich den PC irgendwann mal neu machen in den nächsten Wochen, wie stelle ich sicher das sich der Virus nicht sich selber mitnimmt(da ich bisher immer soweit wissend virenfrei war, bin ich recht frisch in dem Bereich), denn Kaspersky, Malwarebytes, adwcleaner etc. haben alle garnichts bedrohliches gefunden; der Hauptauslöser war vermutlich BRTSVC\BRT.EXE, das soweit runter scheint...

Besten Dank

Falls nötig zu wissen, das System:
Amd ryzen 5 1600 3,2ghz
16gb ram
2tb hdd
500ssd
1060 6gb
asus b350prime mainboard
64 bit win10 home 2018
 

DKK007

PCGH-Community-Veteran(in)
Welcher Trojaner ist denn drauf und was sagt Virustotal dazu?
War/Ist der Trojaner aktiv?

Das sicherste ist formatieren und neu installieren.
 
TE
P

Piratentruppe33

Komplett-PC-Käufer(in)
Also ich hab Trojan Remover,Emisoft Emergency Kit, Kaskerspy, Malwarebytes, Spybot, ADWcleaner drüber laufen lassen, eine Sache wurde gefundne aber sehe mehr oder wenig Dateien/Programme/Prozesse die nicht hier hingehören, also die ganzen PopUp und das der PC so langsam ist, ist immernoch vorhanden, obwohl ich das eine oder andere runter hab, aber ich schaue später nochmal mit Virustotal und nem Konkureten zu Kaspersky vielleicht findet der was...

Wäre jetzt nur wichtig zu wissen was mit "Update for Windows 10 for x64-based systems (KB4023057)" ist, soll ich es runterhauen oder nicht, sowie den rempl Ordner, den kann ich aber auch nur löschen ein richtiges Programm was dahintersteht samt deinstallation finde ich soweit nicht....
 

dekay55

Software-Overclocker(in)
Eigentlich scheiden sich die Geister im Netz nur zwischen den Leuten die sich besser auskennen und dennen die sich nicht so gut auskennen.
Fakt ist, dein System ist nicht nur Infiziert sondern kompromittiert worden, wenn der Trojaner schon Aktiv ist, dann kannst du es nicht mehr Retten.

Ich würde z.b so vorgehen wenn ich einen Trojaner programmieren würde, das ich als aller erstes sobald der Trojaner aktiv wird ein RootKit installieren um mir so volle Zugriffsrechte zu sichern, als zweites würde ich die eigentlichen Programmdateien in den Windows eigenen Dateien verstecken, damit wird es nem virenscanner unmöglich gemacht noch irgendwas zu retten da der eigentliche Schadcode die Windows eigene Signatur benutzt, entweder man entfernt ihn und zerkloppt das Windows dabei, oder man denkt ihn zu entfernen aber im Hintergrund installiert, dazu würde ich z.b die Signatur in den SVC Host verstecken, damit wirds komplett unmöglich gemacht das Windows je wieder sauber zu bekommen, zudem würde ich mir gleichzeitig alle Hintertüren öffnen im Windows um später den Rechner zu nem Zombie zu machen, und auch hier hast du keinerlei chancen mehr selbst wenn du das System halbwegs sauber bekommst, die Hintertüren kannst du nicht verschließen da man über das Rootkit einfach mehr Zugriffsrechte hat als der Benutzer der als SystemAdmin deklariert ist, und auch hier hast du deswegen keine chance mehr da die Virenscanner schlichtweg weniger Zugriffsrechte haben. Also würde nur noch nen Externer Scanner irgendwas ausrichten können, und der wird eben ausgehebelt dadurch das die signatur in den Windows SVC Host und den DLL´s versteckt wird.

Also das einzigste wirklich Sinnvolle was du noch machen kannst. Das System Platt machen, ansonst wird das vermutlich immer ein Teil eines Botnetwerks bleiben und als Zombie agieren. Zudem alle wirklich alle Passwörter die auf dem Rechner benutzt wurden abzuändern, spätestens beim Rootkit wärs ne Leichtigkeit alle Mausbewegungen und alle Tastatureingaben in einer Datei zu speichern und die an den Angreifer zu übertragen samt dem dazugehörigen Bildschirm Inhalt.
 
TE
P

Piratentruppe33

Komplett-PC-Käufer(in)
Ich bräuchte noch eine Kleinigkeit zu wissen von Euch:)
Da ich Ihn in der Tat nicht runter kriege, muss ich das System neu machen, dummerweise kam ich krankheitsbedingt noch nicht dazu die vor ca. 3Monaten dazugepackten alten Festplatten zu sortieren ist recht unsortiert, müsste es Sortieren und dann ins neue System mitnehmen, wie kriege ich es hin, das alles dann Virenfrei bleibt, die Daten würden vermutlich auf einen USB Stick zwischen geparkt, aber da kann er ja dann wieder mit rüber kommen ins neue System, löschen kann ich zwar eine Menge, aber sicher nicht alles.
 

dekay55

Software-Overclocker(in)
Eine Möglichkeit wäre ein USB Adapter sich zu besorgen und die alte Festplatte so in ein Live System einbinden ( wie z.b Linux Knoppix und Konsorten )nen Virenscanner und ein Rootkit Scanner drüber laufen lassen, es gibt auch von div Herstellern wie Sophos, Mcaffee auch Live Systeme die extra drauf ausgerichtet sind Viren und Rootkits aufzuspüren.
Nen Kompromittiertes System ist nur noch ne Gefahr, wie schon gesagt wenn da nen Rootkit installiert ist ist es auch ne Leichtigkeit nen script im Hintergrund laufen zu lassen das aus jeden Wechseldatenträger der angeschlossen ne Virenschleuder macht. Von daher hilft hier nur noch Festplatte ausbauen, und das Kompromittierte System nicht mehr zu benutzen.
 

Dooma

Freizeitschrauber(in)
C: unter Programme der Ordner rempl,

Diese Programm, trotz der wirklich merkwürdigen Namensgebung (hab ich mich auch schon dran gestört), ist ein Teil des Windows Update Processes und dient dazu vorab zu klären ob dein System bereit für das nächste Upgrade ist.
Die Namensgebung kommt teilweise wohl vom englischen "Remediation" was nichts anders als "Sanierung" bedeutet.
Im Großen und Ganzen geht es hier wohl nur darum den Super Gau eines fehlschlagenden Upgrade Versuchs zu vermeiden.

Fest steht, solang die .exe Dateien auch eine Microsoft SHA Signatur haben, darf man auch davon ausgehen dass diese Dateien von Microsoft sind.
Das Programm sedsvc.exe, ist ebenfall teil dessen und in diesem Ordner zu finden.

Was deine von selbst öffnenden Fenster angeht, hast du ein anderes Problem. "rempl" hat damit auf jeden Fall gar nix zu tun.

Nachtrag:
Dein r.srvtrck.com Problem:
What'''s "http://r.srvtrck.com"? : techsupport

Wie man sieht, eine kurze google Suche bringt einen schnell darauf dass es sich hier um eine schadhafte Browser Extension handelt.
Resette deine Browser und entferne alle Erweiterungen.
Auch solltest du überprüfen dass deine DNS Server noch korrekt eingestellt sind, sowie die Hosts-Datei noch unberührt ist.

Bei deinem Trojaner handelt es sich lediglich um nervige PUP-Software die versucht über dich Werbeeinnahmen zu generieren.
Du beschuldigst mehrere Prozesse hier offen ein Trojaner zu sein, hast dir diese aber überhaupt nicht angeschaut oder gar geprüft und kommst noch nicht mal auf die Idee nachzuschauen ob dein Browser überhaupt sauber arbeitet...
Das ist schlicht dilettantisch, du hast gar keine Ahnung was du da machst, also warum überhaupt so tun?! Sag doch gleich das du Hilfe brauchst und keine Ahnung hast.
 
Zuletzt bearbeitet:
Oben Unten