Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Windows System Defender ist nicht mehr zu löschen (https://www.trojaner-board.de/78855-windows-system-defender-mehr-loeschen.html)

chilli99 26.10.2009 20:26

Windows System Defender ist nicht mehr zu löschen
 
Hallo,

ich bin zum ersten Mal hier und hoffe, dass ich alles richtig mache. Ich suche Hilfe für den PC meines Sohnes, der vom "Windows System Defender", offensichtlich einer üblen Malware, "okkupiert" wurde. Damit meine ich, dass auf diesem PC kein einziges Programm mehr auszuführen ist. Also alle Versuche, Tools zur Beseitigung der Malware zu installieren, aber auch den Taskmanager zu starten, um den Prozess abzubrechen oder Windows im abgesicherten Modus zu starten, werden geblockt. Die ganzen guten Ratschläge, die wir uns ergoogelt haben, funktioneren daher nicht. Irgenwann erscheint dann der "blaue Screen", sieht aus wie der System Screen von Windows (ist es aber offensichtlich nicht) und das System rebootet.

Uns fällt mittlerweile nichts mehr ein, außer die Festplatte zu formatieren und eben die Neuinstallation. Auf dem PC ist übrigens Windows XP.

Wer kann helfen?

Angel21 26.10.2009 21:56

Hallo,

benenne den Taskmanager mal um in iexplore.exe

So müsste er aufgehen. Beendet dann den Prozess von Windows System Defender. (Sind meist iwelche wirren Zahlen- und Buchstabenkombinationen).

Danach ladet Malwarebytes auf das System und lasst dieses Durchlaufen. Falls es nicht geht, Setup von Malwarebytes löschen und erneut mit Rechtsklick -> Ziel speichern unter -> "smss.exe" umbenennen auf PC speichern.

Und dann MBAM rennen lassen.

chilli99 26.10.2009 22:06

Werd ich gleich mal ausprobieren. :) Melde mich wieder! (Danke!)

Angel21 26.10.2009 22:09

Okeh, dann bis gleich :)

chilli99 26.10.2009 22:24

Yep, Umbenennung vom Taskmanager durchgeführt, starten funzt nicht. Die Ausführung von exe-Dateien lässt die Malware offensichtlich nich zu. :(

Angel21 26.10.2009 22:54

Mist :(

Lassen wir uns was anderes einfallen.

Geht der normale Virenscan mit deinem Antivir Programm? Wenn ja durchführen alles was er findet in Quarantäne verschieben oder löschen.

Angel21 26.10.2009 22:56

Danach versuch nochmal Malwarebytes.

Berichte bitte Morgen ob es nun funktioniert.
Bin ab Morgen wieder da.

chilli99 26.10.2009 22:58

Mach ich. Danke erstmal und bis morgen! :)

chilli99 27.10.2009 18:46

Hallo, hier mein Bericht zu meinen "Erfolgen" beim Entfernen vom Windows System Defender:

Also der Avira-Virenscanner wurde vom WSD komplett geblockt. Scannen ging nicht. Aber was ging: Malwarebytes in smss.exe umbenennen, installieren und arbeiten lassen. MB hat dann auch Unmengen von Registry-Einträgen und Dateien gefunden und beseitigt. Das hat zumindest die Folge, dass die Programme und der Taskmanager wieder laufen und man am PC arbeiten kann. Aber die Malware scheint noch auf der Platte zu sein, da der Prozess während des Scannens ja noch lief.

Nach dem Rebooten wurde ein zweiter Scan mit MB ausgeführt, wieder 2 Dateien gefunden und beseitigt. Weitere Scans fanden nichts mehr.

Nun aber unser Problem mit dem Virenscanner Avira. Wir wollten den Scan mit der neuen Version 9 machen und sie installieren. Jetzt kommt bei der Installation die Meldung, dass Avira den "Windows System Defender" gefunden hat und dringend wegen eventueller Kompabilitätsprobleme zum Abbruch der Installation rät. Vorher soll der WSD entfernt werden. Nur: Wir können im Taskmanager keinen Prozess finden, der danach aussieht und auch kein Programm, das so typisch aussieht mit "wirren Zahlen- und Buchstabenkombinationen".

Was tun? Avira trotzdem neu installieren? Übrigens: Ein Check mit dem "ESET Online Virenscanner", der gut sein soll, hat auch keine negativen Ergebnisse gebracht.

Was denkst Du, was wir tun sollen? Kann WSD ohne die ganzen Registry-Einträge noch Schaden anrichten?

Angel21 27.10.2009 18:56

Bitte erstmal alle sämtlichen Logs von Malwarebytes hier her.

Danach lassen wir lieber nochmal Superantispyware ran.

Dieses Log auch hier her.

chilli99 27.10.2009 19:50

Also der eine mbam-log hat über 250,000 Zeichen. Dafür muss ich ihn in mindestens 10 Posts aufteilen.

Kommt gleich

Angel21 27.10.2009 19:52

Lade den bei Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de hoch oder füge den als anhang hier ein.

chilli99 27.10.2009 19:53

Ooops, muss mal gerade für 90 Minuten weg, sorry. Ich mach das später. Kannst mir ja morgen Deine dann Ergebnisse posten.

:)

Angel21 27.10.2009 19:54

Okeh xD
Soweit ich das MBAM Log habe ;)

chilli99 27.10.2009 19:57

Ok hier der Link zum Super-Log ;):

Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131