Entfernen der Rogue Software: Content Cleaner

[Paule]

Autor: bregovic

Entfernen der Rogue Software: Content Cleaner

Diese Rogue Software gaukelt vor, Spyware auf dem Rechner gefunden zu haben. In wirklichkeit infiziert "Content Cleaner" das System selber.
Dieses Tutorial zeigt euch, wie ihr "Content Cleaner" entfernen könnt.

Identifikation
Auf dem Desktop befinden sich zwei Icons.

• Content Cleaner
• eBay

Bild 1: Content Cleaner und Ebay


Im Filesystem hat sich Content Cleaner wie folgt eingenistet:

• C:\Documents and Settings\cs\Start Menu\Programs\Content Cleaner
• C:\Documents and Settings\cs\Start Menu\Programs\Content Cleaner\Content Cleaner.lnk
• C:\Documents and Settings\cs\Start Menu\Programs\Content Cleaner\uninstall.lnk
• C:\Program Files\Content Cleaner\uninst.exe
• C:\Program Files\Content Cleaner\ContentCleaner.exe
• C:\Documents and Settings\cs\Desktop\Content Cleaner.lnk

Wird Content Cleaner gestartet, erscheint folgendes:
Ein angebliches Security Center, welches eine große Anzahl an Spyware gefunden und bereinigt hat.

Bild 2: Content Cleaner Startfenster

Des Weiteren ein Warnhinweis mit der Infizierung und dementsprechenden Button.

Bild 3: Reapair Now!


Ein Klick auf den Button führt zu einer Internetseite, wo Content Cleaner gekauft werden soll.

Bild 4: Kaufangebot


Bereinigung
Um Content Cleaner zu entfernen, ladet Malwarebytes Anti-Malware herunter und installiert es. Wenn ihr noch nie mit MBAM gearbeitet habt, schaut euch dieses Tutorial an.
Zum Bereinigen von Content Cleaner reicht diesmal ein Quickscan.

Bild 5: Malwarebytes Anti-Malware


Nach Abschluss des Scans bitte auf "Ergebnisse anzeigen" klicken.

Bild 6: Ergebnis des Scans


Log File nach Scan:

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.02.2010 11:20:18
mbam-log-2010-02-06 (11-20-18).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99620
Laufzeit: 3 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\content cleaner (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\ContentCleaner (Rogue.ContentCleaner) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\CS\Startmenü\Programme\Content Cleaner (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Programme\Content Cleaner (Rogue.ContentCleaner) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\CS\Startmenü\Programme\Content Cleaner\Content Cleaner.lnk (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CS\Startmenü\Programme\Content Cleaner\Uninstall.lnk (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Programme\Content Cleaner\aff.txt (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Programme\Content Cleaner\cc.lnk (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Programme\Content Cleaner\CCleaner.dll (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Programme\Content Cleaner\ContentCleaner.exe (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Programme\Content Cleaner\infected.wav (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Programme\Content Cleaner\new_Delete_animated.gif (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Programme\Content Cleaner\RegAlert.exe (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Programme\Content Cleaner\uninst.exe (Rogue.ContentCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CS\Desktop\Shop Ebay and Save!.URL (Rogue.RepairRegistryPro) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CS\Startmenü\Shop Ebay and Save!.URL (Rogue.RepairRegistryPro) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CS\Desktop\Content Cleaner.lnk (Rogue.ContentCleaner) -> Quarantined and deleted successfully.

Alle entdeckten Objekte von "Content Cleaner" sollten markiert sein. Klickt nun auf "Auswahl entfernen" Falls ihr euch nicht sicher seid, ob die gefundenen Objekte wirklich zu "Content Cleaner" gehören, postet ein Log File ins Malware-Forum. Wie ihr das Log File gegebenenfalls erstellt, könnt ihr hier nachlesen.

Bild 7: Weitere Ergebnisse


Der Rechner muss nach der Bereinigung neu gestartet werden.

Bild 8: Neustart?


Zur Sicherheit sollte nach dem Neustart ein weiterer Quickscan durchgeführt werden. Außerdem bitte prüfen, ob die eingangs erwähnten Einträge im Filesystem entfernt worden sind. Das erneute Scanergebnis sollte nun wie folgt aussehen.

Bild 9: Scan läuft


Das dazugehörige Folg File:

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.02.2010 11:36:24
mbam-log-2010-02-06 (11-36-24).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99667
Laufzeit: 3 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Falls Du noch weitere Hilfestellungen benötigst oder Fragen hast, erstellt bitte hier ein neues Thema im Viren-Forum.