Windows System Defender ist nicht mehr zu löschen
 

Hallo,

ich bin zum ersten Mal hier und hoffe, dass ich alles richtig mache. Ich suche Hilfe für den PC meines Sohnes, der vom "Windows System Defender", offensichtlich einer üblen Malware, "okkupiert" wurde. Damit meine ich, dass auf diesem PC kein einziges Programm mehr auszuführen ist. Also alle Versuche, Tools zur Beseitigung der Malware zu installieren, aber auch den Taskmanager zu starten, um den Prozess abzubrechen oder Windows im abgesicherten Modus zu starten, werden geblockt. Die ganzen guten Ratschläge, die wir uns ergoogelt haben, funktioneren daher nicht. Irgenwann erscheint dann der "blaue Screen", sieht aus wie der System Screen von Windows (ist es aber offensichtlich nicht) und das System rebootet.

Uns fällt mittlerweile nichts mehr ein, außer die Festplatte zu formatieren und eben die Neuinstallation. Auf dem PC ist übrigens Windows XP.

Wer kann helfen?

Hallo,

benenne den Taskmanager mal um in iexplore.exe

So müsste er aufgehen. Beendet dann den Prozess von Windows System Defender. (Sind meist iwelche wirren Zahlen- und Buchstabenkombinationen).

Danach ladet Malwarebytes auf das System und lasst dieses Durchlaufen. Falls es nicht geht, Setup von Malwarebytes löschen und erneut mit Rechtsklick -> Ziel speichern unter -> "smss.exe" umbenennen auf PC speichern.

Und dann MBAM rennen lassen.

Werd ich gleich mal ausprobieren. :) Melde mich wieder! (Danke!)

Okeh, dann bis gleich :)

Yep, Umbenennung vom Taskmanager durchgeführt, starten funzt nicht. Die Ausführung von exe-Dateien lässt die Malware offensichtlich nich zu. :(

Mist :(

Lassen wir uns was anderes einfallen.

Geht der normale Virenscan mit deinem Antivir Programm? Wenn ja durchführen alles was er findet in Quarantäne verschieben oder löschen.

Danach versuch nochmal Malwarebytes.

Berichte bitte Morgen ob es nun funktioniert.
Bin ab Morgen wieder da.

Mach ich. Danke erstmal und bis morgen! :)

Hallo, hier mein Bericht zu meinen "Erfolgen" beim Entfernen vom Windows System Defender:

Also der Avira-Virenscanner wurde vom WSD komplett geblockt. Scannen ging nicht. Aber was ging: Malwarebytes in smss.exe umbenennen, installieren und arbeiten lassen. MB hat dann auch Unmengen von Registry-Einträgen und Dateien gefunden und beseitigt. Das hat zumindest die Folge, dass die Programme und der Taskmanager wieder laufen und man am PC arbeiten kann. Aber die Malware scheint noch auf der Platte zu sein, da der Prozess während des Scannens ja noch lief.

Nach dem Rebooten wurde ein zweiter Scan mit MB ausgeführt, wieder 2 Dateien gefunden und beseitigt. Weitere Scans fanden nichts mehr.

Nun aber unser Problem mit dem Virenscanner Avira. Wir wollten den Scan mit der neuen Version 9 machen und sie installieren. Jetzt kommt bei der Installation die Meldung, dass Avira den "Windows System Defender" gefunden hat und dringend wegen eventueller Kompabilitätsprobleme zum Abbruch der Installation rät. Vorher soll der WSD entfernt werden. Nur: Wir können im Taskmanager keinen Prozess finden, der danach aussieht und auch kein Programm, das so typisch aussieht mit "wirren Zahlen- und Buchstabenkombinationen".

Was tun? Avira trotzdem neu installieren? Übrigens: Ein Check mit dem "ESET Online Virenscanner", der gut sein soll, hat auch keine negativen Ergebnisse gebracht.

Was denkst Du, was wir tun sollen? Kann WSD ohne die ganzen Registry-Einträge noch Schaden anrichten?

Bitte erstmal alle sämtlichen Logs von Malwarebytes hier her.

Danach lassen wir lieber nochmal Superantispyware ran.

Dieses Log auch hier her.

Also der eine mbam-log hat über 250,000 Zeichen. Dafür muss ich ihn in mindestens 10 Posts aufteilen.

Kommt gleich

Lade den bei Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de hoch oder füge den als anhang hier ein.

Ooops, muss mal gerade für 90 Minuten weg, sorry. Ich mach das später. Kannst mir ja morgen Deine dann Ergebnisse posten.

:)

Okeh xD
Soweit ich das MBAM Log habe ;)

Ok hier der Link zum Super-Log ;):

Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de