Hi,

Bei mir hat sich Maleware defense installiert. Seitdem kommen staendig popups, ungewollte downloads, etc..
Bitte um Hilfe!!!

Habe RSIT laufen lassen, anbei die analyse files. was muss ich machen um das Maleware defense los zu werden?

Danke.

LG
Minerva

Hi,


Bereinigung für Rootkit "H8SRTd"

Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf
z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den
Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!)

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls MAM bereits installiert ist, weiter mit Avenger...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-...er_le.exe.html)



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
H8SRTd.sys
         

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

Wo hast du Dir den "hergezogen"?

chris

Hi,

Bin bis schritt 4) gekommen.
Bei Reboot kommt jetzt ein bluescreen mit
STOP: c000021a {Error grave del sistema}
"El proceso del sistems session manager initialization termino inesperadamente con un estado de 0xc0000189 (ox00000000 0x00000000). Se ha apagado el sistema."
Was soviel heisst wie
der system session manager initialization prozess endete unerwartet im status 0xc0000189 (ox00000000 0x00000000). das system wurde abgeschaltet.

Habs 3 mal probiert.

HILFEEEE!!!

Danke

Minerva

Hi Chris,

Habe den rechner jetzt im abgesicherten modus gestartet und konnte auch die restlichen schritte ausfuehren.

schaut so aus als ob jetzt wieder alles ok ist.

Vielen vielen dank.

anbei die log files.

Lg
Wolfi

Hi,

gute Arbeit (abgesicherter Modus). Da war noch was drauf, was eigentlich nicht zu Defence gehört (oder eine neue Version darstellt): cls_pack.exe
Das hat schon auf anderen Rechnern zu einem nicht mehr bootenden System geführt (die genauen Zusammenhänge kennen wir noch nicht)...

falls Avira auf dem Rechner ebenfalls loslassen mit den Einstellungen:
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

Systemwiederherstellung muss bereinigt werden:
Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

So, dann wurde in der Systemwiederherstellung noch ein Banker gemeldet (der gelöscht wurde), daher unbedingt von einem sauberen Rechner aus alle Passwörter ändern (und eigentlich musst Du daher Neuaufsetzen ;o)...

chris

hi chris,

alles gemacht. scheint alles in ordnung zu sein. habe avast home version durchlaufen lassen und keine files sind jetzt infiziert.

wuerdest du ein besseren antivirus vorschlagen?

zu deine frage, wo ich den malware gefangen habe:

war gerade auf der suche nach music lyrics, also was ganz normales...

vielen dank fuer deine grosse hilfe,

minerva und wolfgang

Hi,

Du kannst probieren, ob sich AVAST mit Threadfire (http://www.threatfire.com/de/) verträgt. Das ist ein verhaltensbasierter Scanner den es auch in einer kostenlosen Ausgabe gibt...

chris