Hallo,

ich habe neben meiner sporadischen Trojaner-Attacken zusätzlich diesen Malware Defender seit heute abend auf dem Rechner. Ich dachte zuerst, das wäre ein Windows Update oder der Windows eigene Security würde sich melden.
Nun, jedenfalls bekomme ich dieses Ding nicht ganz los.
Seitdem ich im abgesicherten Modus meine Temps gelöscht habe, erscheint er zwar nicht mehr (mit seiner aufgezwängten Installation usw), allerdings lassen sich mein Avira und Malwarebytes immernoch nicht starten und Popups sowie irgendwelche Internetseiten, die ich garnicht in der http-Leiste eingegeben habe, ploppen von selbst auf.

Ich habe vorerst versucht dieser Anleitung hier von Mask-Miot: http://www.trojaner-board.de/81023-m...defense-2.html
zu folgen, allerdings funktioniert es nicht. Ich kann mit einem Rechtsklick auf "Arbeitsplatz" weder was aktivieren, noch deaktivieren. Im Abgesichertem Modus fand ich keinerlei dll-Dateien im Temp-Ordner noch exe-Dateien von Malware Defense.
Ich konnte praktisch nichts von dem erreichen, was hier zur Beseitgung dieses Fake-AV-Programms aufgelistet wurde.

Habt ihr noch eine Idee, was ich tun könnte, damit mein Rechner wieder normal funktioniert und anständig geschützt ist?

Hi,

da kommt üblicherweise ein Rookit mit...

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-01-17 21:43:40
Windows 5.1.2600 Service Pack 3
Running: pvqklqbb.exe; Driver: C:\DOKUME~1\Amy\LOKALE~1\Temp\pxtdrpow.sys


---- System - GMER 1.0.15 ----

Code 83B6A4C8 ZwEnumerateKey
Code 83A4E6B8 ZwFlushInstructionCache
Code 83C1AAC6 IofCallDriver
Code 83A2C53E IofCompleteRequest

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTklllxfqfep.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Hi,

wie gedacht.
Dann blasen wir dem Rootkit mal das Licht aus....

Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
H8SRTd.sys
         

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

Hi,
hab selbiges rootkit abbekommen. Komm allerdings wenn ich auf den geposteten Link oder auch über google nach The Avenger such nirgends raus weil die Seite scheinbar nicht reagiert. Irgendwer'ne Ahnung was ich tun kann?

danke euch!!!

Vielleicht hilft euch das hier weiter (leider auf Englisch):
Remove Malware Defense (Uninstall Guide)

Gruß
MetalAss

Hi,

mom, stelle ihn kurz hoch...
so: http://www.file-upload.net/download-...er_le.exe.html
Ist umbennant, damit der Download nicht geblockt wird...

chris

Danke, es hat gekklappt mit dem Avenger.
Allerdings ist die Logdatei nach dem Systemscan mit Malwarebytes verschwunden.

Mein Log:

Zitat:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3523
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

17.1.2010 23:07:52
mbam-log-2010-01-17 (23-07-48).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 182241
Laufzeit: 37 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\H8SRTixuweppgll.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTkhppqsiorg.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\h8srtkrl32mainweq.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTpxhgomfhbo.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\h8srtshsyst.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTtlwbrsowtm.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTsvdkmovymy.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\H8SRTklllxfqfep.sys (Rootkit.TDSS) -> No action taken.
C:\Dokumente und Einstellungen\Keewee\Lokale Einstellungen\Temp\H8SRT953d.tmp (Rootkit.TDSS) -> No action taken.

Hi,

ich hoffe Du hast alle Funde von MAM entfernen lassen...

Poste noch ein GMER-Log und scanne mit AVIRA:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html

chris

Alles erledigt.

Lieben Dank für Deine Hilfe!