Autor: markusg
MalwareDefense
Was ist MalwareDefense?
[INDENT]MalwareDefense ist eine sogenannte Rogue Software, sie täuscht Trojaner Meldungen vor damit ihr dieses Programm kauft.
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…se/defense1.jpg]
[Blockierte Grafik: http://www.paules-pc-forum.de/infothek/artik…se/defense2.jpg]
[/INDENT]Verbreitungsweg
[INDENT]- Infizierte Websites
- Keygens, Cracks, etc.
[/INDENT]Symptome
[INDENT]Popups öffnen sich, die zum Kauf des Programms auffordern, Falsche Sicherheitswarnungen werden generiert.
Weiterhin wird MalwareDefense häufig mit dem Rootkit.tdss installiert, welches laufende Sicherheitssoftware ausschaltet.
[/INDENT]Entfernung
[INDENT]Beginne mit MalwareBytes.
Bitte beachte folgendes: Diese Fake Software wird versuchen, den Einsatz von MalwareBytes zu verhindern. Benenne das Setup vor dem speichern in fix.exe um. User des Internet Explorers einfach auf den Download Link klicken, dann bei Dateinamen alles löschen und das Wort fix.exe hinschreiben, User des Firefox Rechtsklick auf den Downloadlink, "Ziel speichern unter" und dann den Dateinamen verändern. Nun sollte das Setup starten.
Wenn das Programm nach der Installation nicht starten sollte, dann navigiert in den Ordner, in den ihr MalwareBytes installiert habt, und benennt die "mbam.exe" in "run.exe" um und versucht es erneut.
Scan type: Quick Scan
Objects scanned: 95065
Time elapsed: 2 minute(s), 30 second(s)
Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 2
Files Infected: 12
Memory Processes Infected:
C:\Program Files\Malware Defense\mdefense.exe (Trojan.FakeAlert) -> Unloaded process successfully.
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\malware defense (Rogue.Malware Defense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.Malware Defense) -> Quarantined and deleted successfully.
Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\malware defense (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
C:\Program Files\malware Defense (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Start Menu\Programs\malware Defense (Rogue.Malware Defense) -> Quarantined and deleted successfully.
Files Infected:
C:\Program Files\Malware Defense\mdefense.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\md.db (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\mdext.dll (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\uninstall.exe (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\help.ico (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Start Menu\Programs\malware Defense\Malware Defense.lnk (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Start Menu\Programs\malware Defense\Uninstall Malware Defense.lnk (Rogue.Malware Defense) -> Quarantined and deleted
successfully.
C:\Documents and Settings\{username}\Start Menu\Programs\malware Defense\Malware Defense Support.lnk (Rogue.Malware Defense) -> Quarantined and deleted
successfully.
C:\Documents and Settings\{username}\Desktop\Malware Defense.lnk (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Desktop\Malware Defense Support.lnk (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Desktop\Malware Defense ReadMe.txt (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.Malware Defense) -> Quarantined
and deleted successfully.
So in etwa sollte das Log aussehen, wenn nur MalwareDefense instaliert ist. Rootkit .tdss erkennt ihr unter anderem daran:
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\h8srtd.sys
C:\WINDOWS\system32\H8SRTmrnarccsvu.dat
C:\WINDOWS\system32\drivers\H8SRTkvbdlltreg.sys
C:\WINDOWS\Temp\H8SRTe440.tmp
Nach dem ihr nun mit MalwareBytes fertig seit, startet den PC neu und ladet den TDSS Killer.
Im Idealfall werden 0 Infekte angezeigt, startet den PC falls nötig neu.
Bereinigung mit dem CCleaner (bitte bereinigt auch die Registry).
» Download Combofix
Die .exe vor dem speichern in "123.exe" umbenennen und direkt auf den Desktop laden.
Befor ihr Combofix startet, müsst ihr alle laufenden Programme, wie AntiVirus-Software abschalten. Folgt den Anweisungen, klickt während des Scans nicht in das Fenster von Combofix, arbeitet nicht am PC.
Bitte nun die Systemwiederherstellung im Wechsel ab und einschalten wie hier beschrieben (und für Vista hier).
Zum Schluss solltet ihr alle Passwörter ändern.
Beachtet außerdem unser Sicherheitskonzept!
[/INDENT]Wenn es noch Probleme mit der Malware gibt oder ihr Fragen zur Bereinigung habt, dann wird euch in unserer Kategorie "PC-Sicherheit" gerne geholfen! :-)