|
Plagegeister aller Art und deren Bekämpfung: Malware Defender die 27#Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.01.2010, 10:49 | #1 |
| Malware Defender die 27# Hallo meine Damen und Herren Schädlingsbekämpfer! direkt zur Sache: ich habe in diesem Forum schon nach "Malware defender" ausschau gehalten, doch finde ich keine passenden Lösungen, denn folgendes: Wers nicht kennt, Malware defender ist ein prog, dass sich für antivirensoftware ausgibt , sich alle paar minuten neu installiert, falsche virenmeldungen macht und sehr hartnäckig ist. bin eigentlich schon sehr weit, ich habe das stetige neuinstallieren abgestellt in dem ich die malware.exe aus dem taskmanager gekickt habe, desweiteren habe ich HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "MalwareDefender2009″ entfernt, wie hier beschrieben: http://www.ehow.com/way_5732390_malware-defender-removal.html soweit so gut. oder auch nicht, denn: antivirus läuft noch immer nicht, und zu allem übel kommen die selben warnmeldungen alle 30 sekunden. da machste nix! weiter: unter suchen habe ich dann nach restlichen malware defender dateien gesucht, doch nichts als webseiten gefunden. (der letzte schritt der geposteten seite funzt quasi nich) an für sich habe ich jetz keinen riesigen schaden, doch nervig ist es allemal ^^ also danke im voraus für jede hilfe.. Trojanuskopf |
24.01.2010, 11:36 | #2 |
| Malware Defender die 27# HitmanPro 3.5
__________________Download HitmanPro 3.5 und installiere es Klicke Einstellungen >> Lizenzinformation und “Aktiviere die kostenlose Lizenz“fuer 30-Tage Klicke weiter und der Scan faengt an,gefundene Infektionen entfernen und Rechner neu starten Download link HitmanPro 3.5 32-Bit Support : Windows XP, Vista, 2000, 2003, 2008 and Windows 7 Download link HitmanPro 3.5 64-Bit Support : Windows XP x64 Edition, Vista x64 and Windows 7 x64 Installiere Malwarebytes Anti-Malware updaten und Scannen Wähle bei Reiter: “Scanner”>> " Vollstaendigen Suchlauf". Scan laufen lassen Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt) Poste dessen inhalt hier ins Forum |
24.01.2010, 18:22 | #3 |
| Malware Defender die 27# oke, danke für die schnelle antwort.
__________________gescannt, jetzt haben wir ein weiteres problem: hitmanpro will die "userinit.exe" entfernen, diese soll ich von der original cd seperat speichern um sie ersetzen zu können, genauso bei "winhlp64.exe" ... ich habe aber keine original cd (mehr), sonst hätte ich bereits neu aufgespielt. hat einer die dateien, oder sind die unwichtig? sonst muss ich alles extern speichern, und das ist wieder ein aufwand... |
24.01.2010, 18:47 | #4 |
| Malware Defender die 27# Man kann bei HP35 doch auch "Bitte nicht entfernen" oder "ignorieren" waehlen http://www.pic-upload.de/view-4360086/HP35-5-DE.jpg.html winhlp64.exe ist aber nicht von Windows |
24.01.2010, 19:43 | #5 |
| Malware Defender die 27# Hi, das sieht verdammt nach einem Backdoor-Boot auf. Prüfe ob folgende Datei im windows\system32-Verzeichnis zu finden ist (ACHTUNG ist u. U. hidden und system)... stu2.exe: Lass die bei virustotal.com prüfen, genauso wie die userinit.exe. Wenn meine Vermutung stimmt, das ist die stu2.exe die Kopie der unverseuchten userinit.exe und die userinit.exe enthält das nette Teil... Wir müssen beide prüfen, ev. sind beide verseucht. Hast Du auf dem Rechner ein i386-Verzeichnis und findest Du darin eine userinit.ex_-Datei? Poste unbedingt ein RSIT-Log, damit wir hier nicht auf Hellsehen angewiesen sind : RSIT Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile. * Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/) * speichere es auf Deinem Desktop. * Starte mit Doppelklick die RSIT.exe. * Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren. * Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren. * In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept". * Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen. * Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage. * Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet. * Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread. Weiterhin noch GMER um zu prüfen ob das Rootkit noch läuft... Gmer: http://www.trojaner-board.de/74908-a...t-scanner.html Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken). Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
25.01.2010, 19:24 | #6 |
| Malware Defender die 27# hab jetz neu gestartet, hitmanpro scheint alles beseitigt zu haben... es kommt kein popup mehr, gar nix ^^ interessanterweise hat antivirus jetzt den malwarevirus erkannt und entfernt läuft eigentlich alles wie geschmiert, muss jetzt noch nachsorge betrieben werden? (kann ich im grunde machen, habe nur genug mit vorträgen und facharbeit zu tun...) aber einen RIESEN dank für die, die sich hier nützlich gemacht haben, wäre ich nur früher hergekommen |
25.01.2010, 19:37 | #7 |
| Malware Defender die 27# Hi, lass bitte trotzdem mal GMER von der Line und ein Scan mit MAM ist auch nicht verkehrt... Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen: http://filepony.de/download-chameleon/ Fullscan und alles bereinigen lassen! Log posten. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
25.01.2010, 20:22 | #8 |
| Malware Defender die 27# oh, oh.. virustotal sagt: a-squared 4.5.0.50 2010.01.25 - AhnLab-V3 5.0.0.2 2010.01.25 - AntiVir 7.9.1.150 2010.01.25 - Antiy-AVL 2.0.3.7 2010.01.22 - Authentium 5.2.0.5 2010.01.25 - Avast 4.8.1351.0 2010.01.25 - AVG 9.0.0.730 2010.01.25 - BitDefender 7.2 2010.01.25 - CAT-QuickHeal 10.00 2010.01.25 - ClamAV 0.94.1 2010.01.25 - Comodo 3706 2010.01.25 UnclassifiedMalware DrWeb 5.0.1.12222 2010.01.25 - eSafe 7.0.17.0 2010.01.25 - eTrust-Vet 35.2.7259 2010.01.25 - F-Prot 4.5.1.85 2010.01.25 - F-Secure 9.0.15370.0 2010.01.25 - Fortinet 4.0.14.0 2010.01.25 - GData 19 2010.01.25 - Ikarus T3.1.1.80.0 2010.01.25 - Jiangmin 13.0.900 2010.01.24 - K7AntiVirus 7.10.952 2010.01.22 - Kaspersky 7.0.0.125 2010.01.25 - McAfee 5872 2010.01.25 - McAfee+Artemis 5872 2010.01.25 - McAfee-GW-Edition 6.8.5 2010.01.25 - Microsoft 1.5405 2010.01.25 - NOD32 4805 2010.01.25 a variant of Win32/Kryptik.BYZ Norman 6.04.03 2010.01.25 - nProtect 2009.1.8.0 2010.01.25 - Panda 10.0.2.2 2010.01.25 - PCTools 7.0.3.5 2010.01.25 - Prevx 3.0 2010.01.25 Medium Risk Malware Rising 22.32.00.04 2010.01.25 - Sophos 4.50.0 2010.01.25 Mal/Generic-A Sunbelt 3.2.1858.2 2010.01.24 Trojan-Downloader.Win32.CodecPack (v) Symantec 20091.2.0.41 2010.01.25 - TheHacker 6.5.0.9.162 2010.01.25 - TrendMicro 9.120.0.1004 2010.01.25 TROJ_RENOS.BHAM VBA32 3.12.12.1 2010.01.25 - ViRobot 2010.1.25.2154 2010.01.25 - VirusBuster 5.0.21.0 2010.01.25 - weitere Informationen File size: 51200 bytes MD5...: 90222041dfbe360aaf94984399b8208a SHA1..: 997209b74dc250ec785be2c7d7e4d3c7e8dbf6b5 SHA256: 8fc04392e3af02d86309facdde5059de64696fa038ec5504f398a2410c9a28fa ssdeep: 384:0kqvo+fYxdUVHKJw7KrMjMEQ7eMn6Fp5fjs7cOL2f:UvfUd7q7EMwpeMcRjG Laf PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1c0d timedatestamp.....: 0x481fb49d (Tue May 06 01:30:05 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5770 0x5800 2.58 0a7cf64e75f4714d01ef8f494fcd623f .inat 0x7000 0x2b7c 0x2c00 5.39 3a1023cad4265290f61d5652270a28e8 .edata 0xa000 0x890b 0x1600 0.38 b6e6abebbd48fcd23f038f2f611ce92e .idada 0x13000 0x1d31 0x1e00 0.00 9b7aed5b7acd844124ead0e6d35e9fbb ( 7 imports ) > KERNEL32.DLL: DeleteFileA, OpenFileMappingA, GetFileSize > KERNEL32.DLL: GetFileTime, CopyFileW > KERNEL32.DLL: ReadFile, CopyFileExW > KERNEL32.DLL: GetComputerNameA > ADVAPI32.DLL: RegEnumKeyA, RegDeleteValueA > ADVAPI32.DLL: RegCreateKeyExW, RegOpenKeyExA, RegQueryValueW > KERNEL32.DLL: ExitThread, CreateThread, FindAtomA, Sleep ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Dynamic Link Library (generic) (55.5%) Clipper DOS Executable (14.7%) Generic Win/DOS Executable (14.6%) DOS Executable Generic (14.6%) VXD Driver (0.2%) sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=20395E4C00C69124C849006A7FAA10004BA695A0' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=20395E4C00C69124C849006A7FAA10004BA695A0</a> soweit zur userinit.exe |
26.01.2010, 17:28 | #9 |
| Malware Defender die 27# Hi, ersetzte die Datei von der Boot-Cd oder lass CF laufen: Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
26.01.2010, 19:10 | #10 |
| Malware Defender die 27# ouf, sorry leutz, im mom hab ich täglich nicht weniger als 10 st. schule, hab gestern den GMER scan auf geschätzter hälfte abbrechen müssen, weil so laaangsam... zudem kann ich es evtl nicht riskieren, im mom den rechner neu aufsetzen zu müssen, da kein WinXP vorhanden, und ich brauch den momentan noch für recherchen etc., aber bald kommt mein netbook wieder (war auch kaputt xDD) dann wahrscheinlich... wie gesagt, riesen Dank an die nette Hilfe, jetz ist er ja übergangsweise geheilt.. in der nächsten zeit steht sowieso eine aufrüstung /neuanschaffung an, dann wird nat. neu aufgespielt ma gucken.. |
01.02.2010, 10:33 | #11 |
| Malware Defender die 27# oke, das einzige, was jetzt noch infiziert ist, ist die userinit.exe ... ih hab eine ausm netz geladen, bin aber nicht sicher, ob ich die alte irgendwie ersetzen darf, habe keine XP CD und deswegen ists schwierig.. kann einer vllt eine passende hochladen? ich meine, die müsste überall gleich sein.. die exe ist mit nem trojaner infiziert, ich hoffe mal, dass er im mom nichts anrichtet |
01.02.2010, 12:00 | #12 |
| Malware Defender die 27# Hi, neben den lizenzrechtliche verstößen wenn MS-Eigentum (userinit.exe) durch die Gegend geschoben wird, haben wir hier noch kein Log gesehen, d.h. wir wissen nicht mal welches System Du hast... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
Themen zu Malware Defender die 27# |
dateien, defender, falsche, folge, folgendes, forum, funzt, gen, gesucht, hartnäckig, installiert, malware, malwaredefender, meldungen, microsoft, nervig, neu, nichts, sache, software, suche, taskmanager, version, warnmeldungen, webseite, webseiten, windows |