Trojaner System Care Antivirus eingefangen
 

Hallo,

ich habe mir eine Malware namens "System Care Antivirus" eingefangen, die vorgibt, ein Antivirenprogramm zu sein.

Ich habe bereits im Forum gesucht, bin aber nicht sicher, wie ich vorgehen soll und ich will nicht einfach irgendwelche Maßnahmen einleiten.

Vermutlich hat sich das Programm über ein "Java-Plugin" installiert. Zumindest kam mir da etwas komisch vor und plötzlich hatte ich das Ding auf dem Desktop. Es zeigt ein Schild als Icon an und installiert sich im Ordner Programme. Es bringt andauern Popup-Meldungen mit gefälschten Infos.

Alle Internetverbindungsmöglichkeiten dieses Rechners habe ich gekappt. Ich kann nciht normal starten, da das Programm alles ausbremst. Abgesicherter Modus klappt und Linux-Boot-Cd auch.

Ich habe kein Problem damit, mein System neu aufzusetzen, muss aber dringend ein paar Daten vorher sichern, die neu drauf sind und im Backup nciht enthalten sind.

Welche Möglichkeiten habe ich? Ich habe einen cleanen PC, mit dem ich Sachen auf Stick oder DVD ziehen kann.

Vielen Dank im Voraus.

mfg

Ich habe rkill im abgesicherten Modus laufen lassen. Logfile siehe weiter unten.
Das Kaspersky Removal Tool findet Trojan.Win32.FakeAV.qwkk

Rkill 2.4.7 by Lawrence Abrams (Grinler)
Bleeping Computer - Technical Support and Computer Help
Copyright 2008-2013 BleepingComputer.com
More Information about Rkill can be found at this link:
RKill - What it does and What it Doesn't - A brief introduction to the program - Am I infected? What do I do?

Program started at: 04/21/2013 05:36:59 PM in x86 mode.
Windows Version: Microsoft Windows XP Service Pack 3

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* No malware processes found to kill.

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

* No issues found.

Checking Windows Service Integrity:

* AFD (AFD) is not Running.
Startup Type set to: System

* DHCP-Client (Dhcp) is not Running.
Startup Type set to: Automatic

* DNS-Client (Dnscache) is not Running.
Startup Type set to: Automatic

* COM+-Ereignissystem (EventSystem) is not Running.
Startup Type set to: Manual

* Netzwerkverbindungen (Netman) is not Running.
Startup Type set to: Manual

* Sicherheitscenter (wscsvc) is not Running.
Startup Type set to: Automatic

* Automatische Updates (wuauserv) is not Running.
Startup Type set to: Automatic

* AFD (AFD) is not Running.
Startup Type set to: System

* IPSEC-Treiber (IPSec) is not Running.
Startup Type set to: System

* NetBios über TCP/IP (NetBT) is not Running.
Startup Type set to: System

* TCP/IP-Protokolltreiber (Tcpip) is not Running.
Startup Type set to: System

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* HOSTS file entries found:

127.0.0.1 localhost

Program finished at: 04/21/2013 05:38:07 PM
Execution time: 0 hours(s), 1 minute(s), and 7 seconds(s)

Hi,

mach bitte im abgesicherten Modus einen OTL-Scan:


Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Unter Extra Registry, wähle bitte Use SafeList.
• Setze den Haken bei Scan all Users.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.