Rogue Software: Desktop Defender 2010 entfernen

[Paule]

Autor: bregovic

Rogue Software: Desktop Defender 2010 entfernen

Desktop Defender 2010 ist eine Rogue Software. Sie gaukelt dem Anwender ein infiziertes System vor. In Wirklichkeit infiziert diese das System selbst.

Identifikation
Nach der Installation scannt Desktop Defender 2010 das System. Dabei und auch nachfolgend erscheinen Fenster mit angeblichen Sicherheitswarnungen. Diese werden zum Tail auch mit einer Sprachausgabe unterlegt.
Des Weiteren werden folgende Änderungen am System vorgenommen:

Filesystem:

• %userprofile%\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
• %windir%\system32\ek18vcvst8s5.exe

• HKLM\SOFTWARE\Desktop Defender 2010
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\securitycenter
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ek18vcvst8s5
• HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Als erstes startet das Hauptfenster und fängt direkt mit dem Scan an. Es werden auch sofort "Infizierungen" angezeigt.


Bild1

Im Tray erscheint eine Warnmeldung, dass der Rechner gefährdet sei.


Bild2

Ein Virenfund wird angezeigt.


Bild3

Angebliche Spywarefunde werden ebenfalls gemeldet.


Bild4

Es erscheinen Aufforderungen zum Blocken diverser Programme.


Bild5

Im Tray tauchen weiterhin Warnmeldungen auf, die wahlweise auf Infizierungen oder eine veraltete Datenbank hinweisen.


Bild6


Bild7


Bild8

Möglicher Datenverlust durch Schadsoftware wird gemeldet.


Bild9

Zwischendurch öffnet sich immer wieder von selbst der Taskmanager.


Bild10

Angeblich werden Daten zu einem fremden Rechner übertragen.


Bild11

Zwischendurch gab es eine Art Blue Screen.


Bild12

Die entsprechende Warnmeldung mit Lösungshinweis erschien kurze Zeit danach.


Bild13

Bereinigung
Bitte arbeitet folgende[/URL] Anleitung ab.
Log nach Scan

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3745
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
16.02.2010 09:33:11
mbam-log-2010-02-16 (09-33-11).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 117858
Laufzeit: 21 minute(s), 52 second(s)
Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\CS\Eigene Dateien\Desktop Defender 2010\Desktop Defender 2010.exe (Rogue.DesktopDefender) -> Unloaded process successfully.
C:\Dokumente und Einstellungen\CS\Eigene Dateien\Desktop Defender 2010\securitycenter.exe (Trojan.FakeAlert) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Desktop Defender 2010 (Rogue.DesktopDefender) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\securitycenter (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ek18vcvst8s5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Dokumente und Einstellungen\CS\Eigene Dateien\Desktop Defender 2010\Desktop Defender 2010.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Dokumente und Einstellungen\CS\Eigene Dateien\Desktop Defender 2010\Desktop Defender 2010.exe (Rogue.DesktopDefender) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\CS\Eigene Dateien\Desktop Defender 2010\securitycenter.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ek18vcvst8s5.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Log nach Bereinigung

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3745
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
16.02.2010 09:52:53
mbam-log-2010-02-16 (09-52-53).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 117694
Laufzeit: 11 minute(s), 26 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Wichtig: MBAM hat nicht alles bereinigt. %userprofile%\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT muss anschließend von Hand gelöscht werden!

Falls ihr noch weitere Hilfestellungen benötigt oder Fragen habt, erstellt bitte hier ein neues Thema.