Hi!
Mir ist scheinbar über eine Sicherheitslücke ( soweit ich gelesen habe vermutlich flashplayer / irgendein video-embed ) das Doppelpack PC Defender 2010 und mscj.exe auf die Platte geraten. Glücklicherweise war das Ding so doof sich sofort und relativ klar zu zeigen.

Der Ablauf war so:
Ich surfe im Internet, folge einem Link und starte ein eingebettetes video.
Google Chrome wirft eine Textbox mit einem text der so ähnlich war wie "Chrome ist nicht auf dem neuesten stand - wollen sie updaten", wurde natürlich ignoriert und mit [x] geschlossen, eh nur ein jscript text popup.
Plötzlich kam allerdings der ganze Total Defender 2010 kram und offensichtlich hatte es es irgendwie geschafft, sich zu starten, denn es erstellte die Desktop-Verknüpfung, 3 Fenster mit dem typischen ~warning warning my warning warning~ gespamme und wollte, dass ich mir eine Lizenz beschafft.
Das absonderlichste: Ein PC shutdown fenster mit einem 10 minuten countdown ( welcher virenschreiber ist so dumm einem 10minuten zu geben? ) hat sich geöffnet und es gab natürlich keinen abbrechen knopf.

Pustekuchen! Das Netzkabel war nach 3 Sek raus, der Taskmanager ging zum Glück noch ( ich habe im nachhinein gelesen es deaktiviert den manchmal ) und sämtliche ominösen prozesse wurden abgeschossen. Shell auf, shutdown -a, AVG antivirus gestartet, welches prompt mscj.exe, mscjm.exe und die dazugehörigen regfiles in CurrentVersion\Run findet ( Und vermutlich instantan daran hindert, irgendwelchen weiteren mumpitz anzustellen ).

Soweit war die größte Gefahr gebannt, jetzt ging es um Schadensbegrenzung. Was wurde betroffen, was könnte noch da sein?
Ich habe: Total PC Defender 2010 deinstalliert - das klingt relativ komisch, scheint aber funktioniert zu haben. Ich habe ein zum Thema gehörendes Youtube video angesehen, alle dort erwähnten regfiles / Ordner in WINDOWS etc sind weg. Vermutlich liegt das auch daran, dass ich zudem natürlich:
AVG einen kompletten scan durchführen und die mscj infektion bereinigen haben lasse. Danach gab es ein System restore auf gestern Abend 22:00.

Jetzt die Frage - was könnte noch da sein?
Meine Vermutung ist, dass durch den abgebrochenen Neustart mscj nicht in der Lage war, sich das erste mal auszuführen, ganz im Gegensatz zu Total Defender, der das sehr wohl bewerkstelligte. Denn die normal auftretenden anderen Files wie download.list oder update12.dat traten nicht auf. Ich vermute es wollte sich über den 10 minuten shutdown aus dem autorun starten.
Beide trojaner sind nicht sonderlich aggressiv, soweit ich in Erfahrung gebracht habe schreiben sie sich lediglich in die CurrentVersion\Run und ihre Prozesse lassen sich einfach so abschiessen.
Total Defender sollte nach den links die ich gelesen habe verschwunden sein, schließlich sind alle in den "how to remove" tutorials erwähnten Stellen verschwunden. Sicher kann ich mir allerdings nicht sein.

Könnte mir jemand sagen, ob mscj noch vorhanden sein könnte und eventuelle andere Dinge die ich eventuell übersehe?

Hallo und

Zitat:

Könnte mir jemand sagen, ob mscj noch vorhanden sein könnte und eventuelle andere Dinge die ich eventuell übersehe?

Ohne Logs kann man garnicht sagen ob da noch Überreste sind. bitte nen Vollscan mit Malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Vielen Dank für die Antwort! Hier erstmal der log von mbam:

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3996

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.04.2010 18:05:21
mbam-log-2010-04-16 (18-05-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 427327
Laufzeit: 2 Stunde(n), 13 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f919fbd3-a96b-4679-af26-f551439bb5fd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Spiele\Earth 2160\deviance.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5D6311C3-AB4F-4295-9A45-5D31CE6ECB2B}\RP1451\A0272384.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

--------------------------------------

Die zwei Registrierungsschlüssel sehen mir nach toten Überresten von Total Defender aus. Deviance zu löschen muss ich vergessen haben, das Ding war aber doch nie aktiv. Woher es kommt kann man sehr gut erraten Die ~.exe in system32 wundert mich etwas, ist wohl aber in Verbindung mit deviance ebenfalls nicht gelöscht worden.

Die beiden Windows-Firewall und Windows-Antivirus flags habe ich ignoriert, da ich sie sowieso manuell ausgeschaltet habe, ich will nicht, dass das ding meine Settings umbaut. Falls sie keine normalen Einstellungen sondern komische Extra-dateien sind kann ich sie löschen.

OTL war mir auf Anhieb etwas hart. Das Ding spuckt eventuell soviel Information aus, dass ich wenn ich diese frei zur Verfügung gebe ich mir eventuell mehr möglichen Schaden einfange als ich will. Frei nach dem Motto: "The internet never forgets". Mir ist zu unklar, was in solch einer Liste alles drin stehen könnte. Wenn es wirklich für notwendig gehalten wird, überlege ich mir das nochmal genauer und schaue mir den output durch, das wird aber ziemlich ärgerlich. Allein mbam neben AVG zu installieren und scannen zu lassen war nicht gerade eine kurze Aktion. Erst musste ich mich vergewissern, was das genau ist und ob sich das verträgt und dann hat der Scan geschlagene 2 Stunden und 13Minuten gedauert... Naja, war wohl trotzdem nicht schlecht, das mal laufen zu lassen.

Noch einmal vielen Dank, ich hoffe ich kann irgendwann wieder "sicher genug" sein, dass nichts mehr aktiv ist bzw irgendwo als Leiche auf der Platte rumsitzt.

Zitat:

C:\Spiele\Earth 2160\deviance.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Wo hast Du das Spiel her?

Genau weiß ich das auch nicht mehr, das kam mal irgendwo her und ich habe es seitdem nicht gelöscht ( Vermutlich die deviance.exe entweder von GameCopyWorld *ahem* *hust hust* oder sie wurde gleich beim Spiel von einem Freund mit kopiert - was erklären würde, wieso sie nie gestartet wurde, wenn das kopierte Spiel bereits "gepatcht" war *hust hust* ). Ausgeführt wurde es aber wie erwähnt nicht ( zumindest kann ich mich nicht daran erinnern. Wieso genau es am Ende nicht gestartet wurde habe ich vergessen, der obige Grund könnte es sein... ). Ich denke folglich, dass nachdem ich die Datei gelöscht habe es verschwunden sein sollte.

Ist das bekannt, dass sich Trojaner an tools von deviance anhängen? Eventuell sollte ich dem doch noch etwas nachgehen, je sicherer, desto besser. Ich könnte mich ja immer irren und doch einmal doppelt drauf geklickt haben. Das wäre dann allerdings ein sehr guter Trojaner, denn komisches Verhalten des PCs oder plötzlicher Passwort-Diebstahl ist mir bisher nicht unter gekommen. Prozesse, die ich mir nicht gut erklären könnte woher sie kommen habe ich auch nie gesehen, es müsste sich als svchost tarnen oder gleich als rootkit komplett aus der Liste verschwinden. Im Autostart steht auch auf Anhieb nichts drin, was dort nicht hingehört und die Autoexec.bat ist leer. AVG und mbam haben beide nichts weiteres gefunden.

Hier fehlt mir das wissen darüber, ob Antivirus-Programme ausschließlich mit Datenbanken oder auch über gewisse pattern arbeiten aber:
Könnte das auch eine falsche positive sein? Wer weiss, wie abstrus die deviance Programme funktionieren, das könnte gut als gefährlich erkannt werden.

PS: Keine Bange, Spiele die mir gut gefallen und ich öfters spiele kaufe ich auch, das war glaube ich auf ner LAN party, bei der wir das gespielt haben - der Ordner wurde 2005 erstellt.

Zitat:

( Vermutlich die deviance.exe entweder von GameCopyWorld *ahem* *hust hust* oder sie wurde gleich beim Spiel von einem Freund mit kopiert - was erklären würde, wieso sie nie gestartet wurde, wenn das kopierte Spiel bereits "gepatcht" war *hust hust* ).

Ups...dann kann ich Dir leider nur noch den dezenten Hinweis auf format c: und Neuinstallation von Windows geben, da wir sowas wie Cracks und Keygens in keinster Weise unterstützen (die Dinger sind illegal und es ist kein Geheimnis, dass sie fast immer verseucht sind)