Ein weiteres Spyware Fake Tool,
das User verunsichert und Systeme belastet: VirusProtectPro oder VirusProtect Pro
Abbildung von BleepingComputer übernommen
Dieses Fake Tool setzt die lange Reihe der bei uns bereits vorgestellten Spyware Fake Tools fort. Es installiert sich über eine Trojaner Infektion, einen Trojaner Zlob, der vorgibt ein Video oder Audio Codec zu sein. Auch dieser Zlob Trojaner installiert ein Malware Programm, 'VirusProtectPro' oder 'VirusProtect Pro'. Wenn der Trojan Zlob gedownloadet worden ist, downloadet und installiert er das genannte Fake Tool automatisch. Auch dieses Fake Programm wird den befallenen Rechner dann scannen und einige Fake Ergebnisse angeblicher Infektionen auf dem Rechner feststellen, die den User veranlassen sollen, das Fake Programm zu kaufen.
Eine weitere Beigabe dieses Programms ist die übliche Sprechblase im Menubalken neben der Uhr, mit der Warnung, dass das System infiziert sei. Klickt man auf diese Warnung, erfolgt ein Systemscan mit falschen Informationen, nur darauf ausgerichtet, ein unerbetenes Programm käuflich zu erwerben. Wer dieses Programm kauft, hat sein Geld für nichts ausgegeben, er wird es nicht zurückerhalten und das Programm wird den Rechner auch nicht reinigen, sondern verunreinigen.
Im HijackThis Logfile erkennt man das Vorhandensein dieses Fakeprogrammes an einem dieser Einträge:
O4 - HKLM\..\Run: [VirusProtectPro 3.3] "C:\Program Files\VirusProtectPro 3.3\VirusProtectPro 3.3.exe" /h
O4 - HKLM\..\Run: [VirusProtectPro 3.4] "C:\Program Files\VirusProtectPro 3.4\VirusProtectPro 3.4.exe" /h
O4 - HKLM\..\Run: [VirusProtectPro 3.5] "C:\Program Files\VirusProtectPro 3.5\VirusProtectPro 3.5.exe" /h
O4 - HKLM\..\Run: [VirusProtectPro 3.6] "C:\Program Files\VirusProtectPro 3.6\VirusProtectPro 3.6.exe" /h
O4 - HKLM\..\Run: [VirusProtectPro 3.7] "C:\Program Files\VirusProtectPro 3.7\VirusProtectPro 3.7.exe" /h
Einträge unter Systemsteuerun -> Programme hinzufügen/entfernen:1. Entfernung des Fake Programmes mit S!Ri's Remover
Man kann versuchen, das oder die Programme mittels der systemeigenen Software Entfernung vom System zu entfernen: Systemsteuerung > Programme hinzufügen/entfernen.
Zusätzlich empfehlen wir den Anwendern von Windows 2000 und Windows XP die Anwendung des Removers von S!RI, das
entsprechend der Bedienungsanleitung auf seiner Webseite.
Bitte auch die Folge-Tipps nach der manuellen Reinigung beachten....
2. Manuelle Entfernung des Fake Programmes VirusProtectPro oder VirusProtect Pro
um dieses Fakeprogramm manuell vom System zu entfernen, muss folgendermassen vorgegangen werden:
Drucke diese Anleitung aus, da du im abgesicherten Modus arbeiten und somit keinen Zugang zum Netz haben wirst.
Lade das FixVPP.reg herunter, speichere es auf deinem Dektop.
Mach einen Doppelklick auf das neue FixVPP.reg Icon auf deinem Desktop und erlaube, dass es von der Registrierung übernommen werden kann: Yes/ja und Ok anklicken.
Geh auf START > ausführen > [schreib rein] C:\%WinDir%\%System%
Hinweis:
%WinDir%, %System% sind Variable (?). Normalerweise ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oder C:\Windows\System32 (Windows XP).
Du müsstest also beispielsweise C:\Windows\System32 reinschreiben.
Nun musst du die verborgenen Ordner und Dateien sichtbar machen:
Ordneroptionen richtig einstellen
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
Suche und finde nun im System Ordner von Windows folgende Dateien:
Suche die Datei nuqjici.dll und benne sie um in nuqjici.dll.bad
Suche die Datei zpeolvh.dll und benne sie um in zpeolvh.dll.bad
Suche die Datei xnvaogd.dll und benne sie um in xnvaogd.dll.bad
Suche die Datei lapmvzf.dll und benne sie um in lapmvzf.dll.bad
Suche die Datei myqlejy.dll und benne sie um in myqlejy.dll.bad
Suche die Datei wfcof.dll und benne sie um in wfcof.dll.bad
Suche die Datei surzzh.dll und benne sie um in surzzh.dll.bad
Suche die Datei onljweo.dll und benne sie um in onljweo.dll.bad
Suche die Datei yhjbbzf.dll und benne sie um in yhjbbzf.dll.bad
Suche die Datei cefrjsh.dll und benne sie um in cefrjsh.dll.bad
Suche die Datei wpchz.dll und benne sie um in wpchz.dll.bad
Suche die Datei vgibz.dll und benne sie um in vgibz.dll.bad
Suche die Datei psndz.dll und benne sie um in psndz.dll.bad
Suche die Datei cqsfk.dll und benne sie um in cqsfk.dll.bad
Suche die Datei wzhtjqo.dll und benne sie um in wzhtjqo.dll.bad
Suche die Datei lrnjnzf.dll und benne sie um in lrnjnzf.dll.bad
Suche die Datei zpuwriz.dll und benne sie um in zpuwriz.dll.bad
Suche die Datei tkrsw.dll und benne sie um in tkrsw.dll.bad
Suche die Datei afzdbl.dll und benne sie um in afzdbl.dll.bad
Suche die Datei bgwttyl.dll und benne sie um in bgwttyl.dll.bad
Suche die Datei dyrwls.dll und benne sie um in dyrwls.dll.bad
Suche die Datei ugofuq.dll und benne sie um in ugofuq.dll.bad
Suche die Datei gtawclv.dll und benne sie um in gtawclv.dll.bad
Suche die Datei vjxwnn.dll und benne sie um in vjxwnn.dll.bad
Suche die Datei khtbpdl.dll und benne sie um in khtbpdl.dll.bad
Suche die Datei cfqbw.dll und benne sie um in cfqbw.dll.bad
Suche die Datei fdpzgi.dll und benne sie um in fdpzgi.dll.bad
Suche die Datei gusur.dll und benne sie um in gusur.dll.bad
Suche die Datei vophqmn.dll und benne sie um in vophqmn.dll.bad
Suche die Datei fshqaln.dll und benne sie um in fshqaln.dll.bad
Suche die Datei ktrxe.dll und benne sie um in ktrxe.dll.bad
Suche die Datei eigbbb.dll und benne sie um in eigbbb.dll.bad
Suche die Datei nexpegp.dll und benne sie um in nexpegp.dll.bad
Suche die Datei xtsyynm.dll und benne sie um in xtsyynm.dll.bad
Suche die Datei fqdqs.dll und benne sie um in fqdqs.dll.bad
Suche die Datei vpccw.dll und benne sie um in vpccw.dll.bad
Suche die Datei ryxrho.dll und benne sie um in ryxrho.dll.bad
Suche die Datei zkpssqa.dll und benne sie um in zkpssqa.dll.bad
Suche die Datei tmxxxh.dll und benne sie um in tmxxxh.dll.bad
Suche die Datei igzxwrl.dll und benne sie um in igzxwrl.dll.bad
Suche die Datei ccyszwl.dll und benne sie um in ccyszwl.dll.bad
Suche die Datei fwjgtk.dll und benne sie um in fwjgtk.dll.bad
Suche die Datei fwrkqfl.dll und benne sie um in fwrkqfl.dll.bad
Suche die Datei tiqmcx.dll und benne sie um in tiqmcx.dll.bad
Suche die Datei zdwii.dll und benne sie um in zdwii.dll.bad
Suche die Datei mivmv.dll und benne sie um in mivmv.dll.bad
Suche die Datei guxmhcd.dll und benne sie um in guxmhcd.dll.bad
Suche die Datei kvfvw.dll und benne sie um in kvfvw.dll.bad
Suche die Datei fyhwfc.dll und benne sie um in fyhwfc.dll.bad
Suche die Datei muvdjo.dll und benne sie um in muvdjo.dll.bad
Suche die Datei tqcwm.dll und benne sie um in tqcwm.dll.bad
Suche die Datei iklqcx.dll und benne sie um in iklqcx.dll.bad
Suche die Datei gkymhk.dll und benne sie um in gkymhk.dll.bad
Suche die Datei ddomv.dll und benne sie um in ddomv.dll.bad
Suche die Datei kzpkwj.dll und benne sie um in kzpkwj.dll.bad
Suche die Datei ayjhc.dll und benne sie um in ayjhc.dll.bad
Suche die Datei osdjhjc.dll und benne sie um in osdjhjc.dll.bad
Suche die Datei vvihh.dll und benne sie um in vvihh.dll.bad
Mache einen Rechtsklick auf die jeweilige Datei und benenne sie um, indem du eine zweite Endung anhängst, also:
zpeolvh.dll.bad
Wenn sich diese Dateien nicht auf deinem Rechner befinden, solltest du einen Thread in unserem Forum für HijackThis Logfiles eröffnen.
Starte deinen Rechner in den abgesicherten Modus neu auf (bevor das Windows Bild erscheint, die F8 Taste eindrücken, immer wieder F8 drücken)
Tipps & Tricks -> TIPP 4. Bitte den Rechner vom Internet trennen.
Nun kannst du das jeweilige Fakeprogramm über die Systemsteuerung entfernen:
Suche und finde VirusProtectPro 3.3, VirusProtectPro 3.4, VirusProtectPro 3.5, VirusProtectPro 3.6, VirusProtectPro 3.7
Das Fake Programm muss erst vollständig vom System entfernt sein, bevor der Rechner neu aufgestartet werden darf.
Du kannst nun die im folgenden genannten Dateien entfernen:
C:\Windows\System32\nuqjici.dll.bad
C:\Windows\System32\zpeolvh.dll.bad
C:\Windows\System32\xnvaogd.dll.bad
C:\Windows\System32\lapmvzf.dll.bad
C:\Windows\System32\myqlejy.dll.bad
C:\Windows\System32\surzzh.dll.bad
C:\Windows\System32\wfcof.dll.bad
C:\Windows\System32\onljweo.dll.bad
C:\Windows\System32\yhjbbzf.dll.bad
C:\Windows\System32\cefrjsh.dll.bad
C:\Windows\System32\wpchz.dll.bad
C:\Windows\System32\vgibz.dll.bad
C:\Windows\System32\psndz.dll.bad
C:\Windows\System32\cqsfk.dll.bad
C:\Windows\System32\wzhtjqo.dll.bad
C:\Windows\System32\lrnjnzf.dll.bad
C:\Windows\System32\zpuwriz.dll.bad
C:\Windows\System32\afzdbl.dll.bad
C:\Windows\System32\tkrsw.dll.bad
C:\Windows\System32\bgwttyl.dll.bad
C:\Windows\System32\dyrwls.dll.bad
C:\Windows\System32\ugofuq.dll.bad
C:\Windows\System32\gtawclv.dll.bad
C:\Windows\System32\vjxwnn.dll.bad
C:\Windows\System32\khtbpdl.dll.bad
C:\Windows\System32\cfqbw.dll.bad
C:\Windows\System32\fdpzgi.dll.bad
C:\Windows\System32\gusur.dll.bad
C:\Windows\System32\vophqmn.dll.bad
C:\Windows\System32\fshqaln.dll.bad
C:\Windows\System32\ktrxe.dll.bad
C:\Windows\System32\eigbbb.dll.bad
C:\Windows\System32\nexpegp.dll.bad
C:\Windows\System32\xtsyynm.dll.bad
C:\Windows\System32\fqdqs.dll.bad
C:\Windows\System32\vpccw.dll.bad
C:\Windows\System32\ryxrho.dll.bad
C:\Windows\System32\zkpssqa.dll.bad
C:\Windows\System32\tmxxxh.dll.bad
C:\Windows\System32\igzxwrl.dll.bad
C:\Windows\System32\ccyszwl.dll.bad
C:\Windows\System32\fwjgtk.dll.bad
C:\Windows\System32\fwrkqfl.dll.bad
C:\Windows\System32\tiqmcx.dll.bad
C:\Windows\System32\zdwii.dll.bad
C:\Windows\System32\mivmv.dll.bad
C:\Windows\System32\guxmhcd.dll.bad
C:\Windows\System32\kvfvw.dll.bad
C:\Windows\System32\fyhwfc.dll.bad
C:\Windows\System32\muvdjo.dll.bad
C:\Windows\System32\tqcwm.dll.bad
C:\Windows\System32\iklqcx.dll.bad
C:\Windows\System32\gkymhk.dll.bad
C:\Windows\System32\kzpkwj.dll.bad
C:\Windows\System32\ddomv.dll.bad
C:\Windows\System32\ayjhc.dll.bad
C:\Windows\System32\osdjhjc.dll.bad
C:\Windows\System32\vvihh.dll.bad
Leere die Ordner und lösche im Anschluss daran die Ordner selbst:
C:\Programme\VirusProtectPro 3.3\
C:\Programme\VirusProtectPro 3.4\
C:\Programme\VirusProtectPro 3.5\
C:\Programme\VirusProtectPro 3.6\
C:\Programme\VirusProtectPro 3.7\
Schliesse den System Ordner von Windows und starte deinen Rechner neu auf
... ab hier geht es nun auch wieder für unsere Anwender von S!Ri's Remover weiter:
Download CCleaner (Crap Cleaner)
Nimm das Häkchen raus bei der Yahoo-Toolbar.
Setze Häkchen unter: "Windows", "Anwendung" und "Komponenten".
Schau die Screenshots an. Drücke auf "Run Cleaner" und lass den CCleaner laufen und das System bereinigen.
Scanne deinen Rechner mit einem Full System-Scan mit dem Panda Active Online-Scan.1. klicke auf den "Scan your PC" button
2. klicke auf den "Check Now" button
3. Gib dein Land ein
4. Trage die Provinz ein
5. Gib deine email Adresse an und drücke auf senden
6. Wähle Home User (privat) oder Company (Firma)
7. Drücke nun auf den "Scan Now" button
8. Erlaube die Installation einer ActiveX Komponente
9. Warte geduldig bis der Download beendet ist
10. Klicke dann auf "Local Disks" um den Scan zu starten.
- Lass das Programm alles entfernen, was es findet.
- Der Scan kann ca 2-3 Stunden dauern.
- Speichere das Logfile.
- Sollte noch Spyware gefunden werden, die nicht mit Panda entfernt wird, melde dich bei uns im Forum.
- Starte deinen Rechner nach dem Scan neu auf.
Bitte die Sicherheitsvorkehrungen im Internet-Explorer heruntersetzen und ActiveX erlauben. Vergiss nicht, die Sicherheitseinstellungen nach dem Scan wieder hochzustellen.
Sollte es dazu Fragen oder Unklarheiten geben, stehen wir im Forum gerne zur Verfügung.
Diese Anleitung ist eine Übersetzung der englischen Anleitung
von Grinler/ Bleepingcomputer,
mit Dank übernommen und auf deutsche Systeme angepasst. 
