Malware Defense entfernen

Was ist MalwareDefense?

MalwareDefense ist eine sogenannte Rogue Software, sie täuscht Trojaner und Viren Meldungen vor, damit man das Programm kauft.




Zu Malware Defense zugehörige Dateien:

Code: Alles auswählenAufklappen

ATTFilter

 
c:\Program Files\Malware Defense
c:\Program Files\Malware Defense\help.ico
c:\Program Files\Malware Defense\md.db
c:\Program Files\Malware Defense\mdefense.exe
c:\Program Files\Malware Defense\mdext.dll
c:\Program Files\Malware Defense\uninstall.exe
%UserProfile%\Desktop\Malware Defense Support.lnk
%UserProfile%\Desktop\Malware Defense.lnk
%UserProfile%\Start Menu\Programs\Malware Defense
%UserProfile%\Start Menu\Programs\Malware Defense\Malware Defense Support.lnk
%UserProfile%\Start Menu\Programs\Malware Defense\Malware Defense.lnk
%UserProfile%\Start Menu\Programs\Malware Defense\Uninstall Malware Defense.lnk
         

Zu Malware Defense zugehörige Registry Einträge:

Code: Alles auswählenAufklappen

ATTFilter

 
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\SimpleShlExt
HKEY_CLASSES_ROOT\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000}
HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\SimpleShlExt
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Malware Defense"
         

Symptome

• Popups öffnen sich, die zum Kauf des Programms auffordern.
• Falsche Sicherheitswarnungen werden generiert.
• MalwareDefense häufig mit dem Rootkit.TDSS installiert, welches laufende Sicherheitssoftware ausschaltet.

MalwareDefense entfernen

• Klicke im Start-Menü unter "Einstellungen" auf "Systemsteuerung" -> "Internetoptionen".
• Wähle die Karteikarte "Verbindungen->Lan-Einstellungen“ und überprüfe ob bei Proxyserver ein Häkchen steht,
  wenn ja -> Entfernen, dann -> OK (sofern nicht richtige Eintragung)

• Starte einen vollständigen Scan mit Malwarebytes Anti-Malware

Achtung: Diese Fake Software wird versuchen, den Einsatz von Malwarebytes zu verhindern. Benenne das Setup vor dem speichern in etwas anderes um (z.B. Herbert.exe).

Falls es vorher nicht funktioniert hat, sollte das Setup jetzt starten.

Wenn das Programm nach der Installation nicht starten sollte, dann benenne die "mbam.exe" in "herbert.exe" um und versuche es erneut.

So könnte ein Logfile eines infozierten Systems aussehen:

Code: Alles auswählenAufklappen

ATTFilter

 
Memory Processes Infected:
C:\Program Files\Malware Defense\mdefense.exe (Trojan.FakeAlert) -> Unloaded process successfully.
 
Memory Modules Infected:
(No malicious items detected)
 
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\malware defense (Rogue.Malware Defense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.Malware Defense) -> Quarantined and deleted successfully.
 
Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\malware defense (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 
Registry Data Items Infected:
(No malicious items detected)
 
Folders Infected:
C:\Program Files\malware Defense (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Start Menu\Programs\malware Defense (Rogue.Malware Defense) -> Quarantined and deleted successfully.
 
Files Infected:
C:\Program Files\Malware Defense\mdefense.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\md.db (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\mdext.dll (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\uninstall.exe (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Program Files\malware Defense\help.ico (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Start Menu\Programs\malware Defense\Malware Defense.lnk (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Start Menu\Programs\malware Defense\Uninstall Malware Defense.lnk (Rogue.Malware Defense) -> Quarantined and deleted
successfully.
C:\Documents and Settings\{username}\Start Menu\Programs\malware Defense\Malware Defense Support.lnk (Rogue.Malware Defense) -> Quarantined and deleted
successfully.
C:\Documents and Settings\{username}\Desktop\Malware Defense.lnk (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Desktop\Malware Defense Support.lnk (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Desktop\Malware Defense ReadMe.txt (Rogue.Malware Defense) -> Quarantined and deleted successfully.
C:\Documents and Settings\{username}\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.Malware Defense) -> Quarantined
and deleted successfully.
         

Falls Hinweise auf Rootkit.TDSS vorhanden sind:

Code: Alles auswählenAufklappen

ATTFilter

 
 
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\h8srtd.sys 
 
C:\WINDOWS\system32\H8SRTmrnarccsvu.dat 
C:\WINDOWS\system32\drivers\H8SRTkvbdlltreg.sys 
C:\WINDOWS\Temp\H8SRTe440.tmp
         

...dann die Rootkit.TDSS entfernen Anleitung: http://www.trojaner-board.de/82358-t...entfernen.html

Malware Defense immer noch nicht entfernt?

OTH - OTHelper - Kill All Processes


Mit aktualisiertem (!!) Malwarebytes Anti-Malware nach Ausführen von OTH nochmal QUICKSCAN ausführen.

Bitte alle temporären Dateien löschen und Speicherplatz freigeben.

Weitergehende Prüfung

Das System könnte noch nicht vollständig sauber sein.

Daher unbedingt ein Thema erstellen: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Nicht vergessen mit FRST-Logfiles wie in der Anleitung beschrieben.

Wie man Hilfe bekommt steht auch hier.