|
Maleware Defense loswerden Hi, Bei mir hat sich Maleware defense installiert. Seitdem kommen staendig popups, ungewollte downloads, etc.. Bitte um Hilfe!!! Habe RSIT laufen lassen, anbei die analyse files. was muss ich machen um das Maleware defense los zu werden? Danke. LG Minerva |
Hi, Bereinigung für Rootkit "H8SRTd" Zuerst versucht ihr MAM zu installieren, dazu benennt es bereits im Downloaddialog auf z.B. Test.exe um. Startet es nach der Installation nicht, wartet bis Avenger den Rootkit "ausgeknippst" hat und lasst es dann sofort laufen (nach dem Update der Signaturen!) Malwarebytes Antimalware (MAM) Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Falls MAM bereits installiert ist, weiter mit Avenger... Anleitung Avenger (by swandog46) 1.) Ladet das Tool Avenger und speichere es auf dem Desktop: (Alternativ umbennant von hier:http://www.file-upload.net/download-...er_le.exe.html) http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Drivers to delete:4.) Um Avenger zu starten klicke auf -> Execute Dann bestätigt mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board. Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. Wo hast du Dir den "hergezogen"? chris |
Hi, Bin bis schritt 4) gekommen. Bei Reboot kommt jetzt ein bluescreen mit STOP: c000021a {Error grave del sistema} "El proceso del sistems session manager initialization termino inesperadamente con un estado de 0xc0000189 (ox00000000 0x00000000). Se ha apagado el sistema." Was soviel heisst wie der system session manager initialization prozess endete unerwartet im status 0xc0000189 (ox00000000 0x00000000). das system wurde abgeschaltet. Habs 3 mal probiert. HILFEEEE!!! Danke Minerva |
Hi Chris, Habe den rechner jetzt im abgesicherten modus gestartet und konnte auch die restlichen schritte ausfuehren. schaut so aus als ob jetzt wieder alles ok ist. Vielen vielen dank. anbei die log files. Lg Wolfi |
Hi, gute Arbeit (abgesicherter Modus). Da war noch was drauf, was eigentlich nicht zu Defence gehört (oder eine neue Version darstellt): cls_pack.exe Das hat schon auf anderen Rechnern zu einem nicht mehr bootenden System geführt (die genauen Zusammenhänge kennen wir noch nicht)... falls Avira auf dem Rechner ebenfalls loslassen mit den Einstellungen: Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-a...tellungen.html Führe einen Systemscan durch und poste das Ergebnis! Systemwiederherstellung muss bereinigt werden: Systemwiederherstellung löschen BSI-Faltblattt (https://www.bsi.bund.de/cln_134/Cont...irenundCo.html) und dort unter Viren entfernen Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen So, dann wurde in der Systemwiederherstellung noch ein Banker gemeldet (der gelöscht wurde), daher unbedingt von einem sauberen Rechner aus alle Passwörter ändern (und eigentlich musst Du daher Neuaufsetzen ;o)... chris |
hi chris, alles gemacht. scheint alles in ordnung zu sein. habe avast home version durchlaufen lassen und keine files sind jetzt infiziert. wuerdest du ein besseren antivirus vorschlagen? zu deine frage, wo ich den malware gefangen habe: war gerade auf der suche nach music lyrics, also was ganz normales... vielen dank fuer deine grosse hilfe, minerva und wolfgang |
Hi, Du kannst probieren, ob sich AVAST mit Threadfire (http://www.threatfire.com/de/) verträgt. Das ist ein verhaltensbasierter Scanner den es auch in einer kostenlosen Ausgabe gibt... chris |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board