Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Malware Defense Befall

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.01.2010, 17:40   #1
sir_neromani
 
Malware Defense Befall - Standard

Malware Defense Befall



Hallo,

also ich wurde von Malware Defense befallen. Ich hab lediglich Avast drauf, is natürlich wirkungslos. Ich hab schon gegoogelt und viele Beiträge von eurem Board dazu gelesen. Allerdings sind die Vorgehensweisen meist recht unterschiedlich. Deswegen wusste ich nicht recht wie ich vorgehen soll.

Malwarebytes hab ich probiert, aber es ging nicht, wurde wohl von Malware Defense geblockt. Ich habs auch gleich beim runterladen umbenannt.

Ist es möglich das System zu reparieren ohne neu aufzusetzen?

Ps: Ich bitte um schnelle Hilfe, da ich den Pc (eee pc) fürs Studium brauche.

Danke

Alt 22.01.2010, 22:51   #2
Chris4You
 
Malware Defense Befall - Standard

Malware Defense Befall



Hi,

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

So, wenn dabei von GMER der Treiber H8SRTd.SYS gefunden wird, dann weiter sonst noch mal melden (er wird von GMER auch direkt als Rootkit gekennzeichnet)

Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-...er_le.exe.html)



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Drivers to delete:
H8SRTd.sys
         
3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris
__________________

__________________

Alt 23.01.2010, 11:03   #3
sir_neromani
 
Malware Defense Befall - Standard

Malware Defense Befall



GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover
Rootkit quick scan 2010-01-23 12:02:33
Windows 5.1.2600 Service Pack 3
Running: upbkp9lr.exe; Driver: C:\DOKUME~1\simon_2\LOKALE~1\Temp\aglyrkog.sys


---- System - GMER 1.0.15 ----

Code 89B66710 ZwEnumerateKey
Code 89972828 ZwFlushInstructionCache
Code 89BAF52E IofCallDriver
Code 89B9FB96 IofCompleteRequest

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89DD61F8

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTnvujnkxbmo.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----
__________________

Alt 23.01.2010, 11:31   #4
sir_neromani
 
Malware Defense Befall - Standard

Malware Defense Befall



Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTnvujnkxbmo.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Alt 23.01.2010, 12:59   #5
Chris4You
 
Malware Defense Befall - Standard

Malware Defense Befall



Hi,

poste auch das Log von MAM...
MAM muß direkt nach dem Inaktivieren laufen, sonst hast du bald wieder ein Problem!

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 23.01.2010, 13:38   #6
sir_neromani
 
Malware Defense Befall - Standard

Malware Defense Befall



Mam is erstmal abgekackt, machs aber nochmal.

Alt 23.01.2010, 15:02   #7
Chris4You
 
Malware Defense Befall - Standard

Malware Defense Befall



Hi,

deinstalliere MAM und installiere es neu...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 23.01.2010, 15:58   #8
sir_neromani
 
Malware Defense Befall - Standard

Malware Defense Befall



Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3618
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23.01.2010 16:55:35
mbam-log-2010-01-23 (16-55-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 362666
Laufzeit: 2 hour(s), 8 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 36

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\malware defense (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\extrac64_cab.exe (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Rogue.MalwareDefense) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\malware Defense (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\simon_2\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\simon_2\Lokale Einstellungen\Temp\extrac64_cab.exe (Trojan.Dropper) -> No action taken.
C:\DOKUME~1\simon_2\LOKALE~1\Temp\extrac64_cab.exe (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\simon_2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\682TIUSE\z002102801r0007J11000601Rd61919e9Xb488c68cYffdfa0daZ03007f3530dP000501080[1] (Rootkit.TDSS.Gen) -> No action taken.
C:\Programme\Malware Defense\mdext.dll (Trojan.TDSS) -> No action taken.
C:\Programme\Malware Defense\uninstall.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP158\A0032859.exe (Trojan.Banker) -> No action taken.
C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP158\A0033858.dll (Rootkit.TDSS.Gen) -> No action taken.
C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP158\A0033859.dll (Rootkit.TDSS.Gen) -> No action taken.
C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP158\A0033862.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP158\A0033871.exe (Trojan.Banker) -> No action taken.
C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP158\A0033873.dll (Trojan.TDSS) -> No action taken.
C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP158\A0033874.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\H8SRTtalnxncjws.dll (Rootkit.TDSS.Gen) -> No action taken.
C:\WINDOWS\system32\drivers\H8SRTnvujnkxbmo.sys (Rootkit.TDSS.Gen) -> No action taken.
C:\Programme\malware Defense\help.ico (Rogue.MalwareDefense) -> No action taken.
C:\Programme\malware Defense\md.db (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\simon_2\Startmenü\Programme\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\simon_2\Startmenü\Programme\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\simon_2\Startmenü\Programme\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\simon_2\Desktop\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\simon_2\Desktop\Malware Defense Support.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\simon_2\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Desktop\nudetube.com.lnk (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Desktop\pornotube.com.lnk (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Desktop\youporn.com.lnk (Rogue.Link) -> No action taken.
C:\WINDOWS\system32\H8SRTifrobxhpta.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTijrgqrfdvr.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTnfvwgkewxl.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTrflngvaaow.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\h8srtshsyst.dll (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\H8SRTemodgdpsfr.dat (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT19a8.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT1fa3.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT2d21.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRT3004.tmp (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\Temp\H8SRTf586.tmp (Rootkit.TDSS) -> No action taken.





Avast hat entsprechend oft Alarm geschlagen, hab dann auf Löschen geklickt, macht das was aus?

Alt 23.01.2010, 16:13   #9
Chris4You
 
Malware Defense Befall - Standard

Malware Defense Befall



Hi,

ist okay...

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 23.01.2010, 16:31   #10
sir_neromani
 
Malware Defense Befall - Standard

Malware Defense Befall



Juhu,...

sieht soweit sehr gut aus. Soll ich jetzt nochmal irgendeinen Scan posten?

Wenn wieder was auftritt, darf ich das hier weiterschreiben?

Auf jeden Fall vielen, vielen Dank, für die schnelle und kompetente Hilfe.


gruß Simon

Alt 23.01.2010, 18:24   #11
Chris4You
 
Malware Defense Befall - Standard

Malware Defense Befall



Hi,

lass zur Sicherheit (um prüfen zu können ob Avast auch alles gelöscht hat), nochmal MAM komplett dürber laufen und alles beseitigen. Mache vorher ein Update von MAM...

Wenn es was neues sein sollte, dann bitte einen neuen Thread eröffnen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Malware Defense Befall
aufzusetzen, avast, befall, beiträge, board, defense, eurem, malware, malware defense, malware defense befall, natürlich, neu, probiert, recht, reparieren, runterladen, schnelle, schnelle hilfe, studium, system, vorgehensweise



Ähnliche Themen: Malware Defense Befall


  1. Malware Defense
    Antiviren-, Firewall- und andere Schutzprogramme - 02.02.2010 (42)
  2. Malware Defense
    Plagegeister aller Art und deren Bekämpfung - 24.01.2010 (10)
  3. Malware Defense
    Plagegeister aller Art und deren Bekämpfung - 23.01.2010 (13)
  4. malware defense befall
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (9)
  5. Malware Defense
    Log-Analyse und Auswertung - 20.01.2010 (9)
  6. malware defense und security alert
    Plagegeister aller Art und deren Bekämpfung - 19.01.2010 (98)
  7. malware defense und spyhunter
    Plagegeister aller Art und deren Bekämpfung - 15.01.2010 (58)
  8. Malware Defense
    Plagegeister aller Art und deren Bekämpfung - 14.01.2010 (16)
  9. malware defense
    Plagegeister aller Art und deren Bekämpfung - 12.01.2010 (16)
  10. Malware Defense und H8SRT
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (14)
  11. Malware Defense und noch mehr...?
    Plagegeister aller Art und deren Bekämpfung - 08.01.2010 (7)
  12. Malware Defense Trojaner/virus
    Plagegeister aller Art und deren Bekämpfung - 07.01.2010 (1)
  13. Malware Defense entfernen
    Anleitungen, FAQs & Links - 04.01.2010 (2)
  14. Malware Defense
    Plagegeister aller Art und deren Bekämpfung - 04.01.2010 (24)
  15. malware defense gekriegt HJT log
    Log-Analyse und Auswertung - 02.01.2010 (2)
  16. Bin ich Malware Defense los?
    Log-Analyse und Auswertung - 30.12.2009 (1)
  17. Fraud.Malware Defense
    Plagegeister aller Art und deren Bekämpfung - 28.12.2009 (1)

Zum Thema Malware Defense Befall - Hallo, also ich wurde von Malware Defense befallen. Ich hab lediglich Avast drauf, is natürlich wirkungslos. Ich hab schon gegoogelt und viele Beiträge von eurem Board dazu gelesen. Allerdings sind - Malware Defense Befall...
Archiv
Du betrachtest: Malware Defense Befall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.