AntiVirGear ist ein weiteres Rogue AntiSpyware Programm, das mithilfe einer Trojan Zlob Infektion auf dem befallenen System installiert wird. Die Zlob Trojaner sind eine Malware, die vorgibt Video oder Audio Codecs zu sein, die man benötigt, um ein bestimmtes Movie zu betrachten oder eine bestimmte Audiodatei aus dem Internet zu hören. In Wirklichkeit jedoch werden diese Dateien das Programm AntiVirGear und weitere Malware auf den befallenen Systemen installieren. Sie Installationen finden ohne Wissen und Einverständnis des Users statt.
Wenn die Zlobinfektion vom System aufgenommen worden ist, wird sie gefakte Sicherheitswarnungen auf dem befallenen Rechner abspielen und das AntiVirGear automatisch herunterladen. Wenn es installiert ist, wird es eine Reihe falscher Angaben zu angeblichen Virenfunden auf dem betroffenen System abspielen, um den User auf diese Weise dazu zu bewegen, die Vollversion des Programmes zu kaufen, um die angeblich gefundene Malware zu entfernen. Die angeblichen Malwarefunde sind ebenfalls Falschmeldungen, die darauf ausgerichtet sind, den User dazu zu bewegen, AntiVirGear zu kaufen. Hier ein Screenshot von BleepingComputer zu AntiVirGear:
Wie weiter oben bereits erwähnt, wird die Zlob Infektion eine Reihe Sicherheitswarnungen im Menubalken von Windows abspielen. Diese Sicherheitsheitswarnungen weisen daraufhin, dass der Rechner von Malware befallen sei. Diese Meldungen sind, wie bereits erwähnt, falsch und sollen dazuführen, dass das Programm gekauft wird. Wenn man auf diese Sicherheitswarnungen klickt, wird AntiVirGear ausgeführt und den Rechner scannen. Der Text der Sicherheitswarnungen lautet:übersetzt:System has detected a number of active spyware applications that may impact the performance of your computer. Click the icon to get rid of unwanted spyware by downloading an up-to-date anti-spyware solution.
Das System hat eine Reihe aktiver Spyware Anwendungen festgestellt, welche die Sicherheit des Rechners beeinträchtigen könnten. Klicke auf das Ikon, um mit dem Download einer aktuellen Anti-Spyware Lösung unerwünschte Spyware zu entfernen.
Ein Beispiel dieser gefälschten Sicherheitswarnungen sieht folgendermassen aus:
Eine Abbildung von BleepingComputer.
Mit Hilfe dieser Anleitung kann die Trojan Zlob Infektion, das Programm AntiVirGear und weitere Malware entfernt werden.
Benötigt zur Reinigung werden folgende Tools:
SmitFraudFix - (Automated Fix)
FixAVG.reg - (nur für die manuelle Entfernung)
In einem HijackThis Logfile siehst du:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http ://ffinder.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http ://ffinder.com/
O2 - BHO: ieffse32.msdn_hlp - {C1C6426B-FB16-4123-ACBE-74D94FB0E663} - C:\WINDOWS\system32\ieffse32.dll
O4 - HKLM\..\Run: [AntiVirGear 3.7] "C:\Program Files\AntiVirGear 3.7\AntiVirGear 3.7.exe" /h
O4 - HKLM\..\Run: [AntiVirGear 3.8] "C:\Program Files\AntiVirGear 3.8\AntiVirGear 3.8.exe" /h
*O10 - Unknown file in Winsock LSP: c:\windows\system32\laf1.dll
**O22 - SharedTaskScheduler: haruspicy - {60dea04c-9817-4309-bfa2-f8a1766c3cd1} - C:\WINDOWS\system32\jrpkmgh.dll
*Hinweis: Bitte diese Dateien nicht manuell entfernen.
Dateien zu LSP können unterschiedliche Nummern tragen (Ie. laf2.dll or laf3.dll).
**Hinweis: Der Datei Name, der mit 022 in Zusammenhang steht, ändert sich regelmässig.
Programe unter -> Systemsteuerung -> Software entfernen/hinzufügen deinstallieren:
AntiVirGear 3.7
AntiVirGear 3.8
Wähle die Methode mit der du diese Malware von deinem System entfernen möchtest.
Wir verwenden nun zunächst den Remover von S!Ri
(Windows XP und 2000) entsprechend folgender Anleitung:
Manuelle Entfernung von AntiVirGear:Downloade das SmitfraudFix von S!Ri: SmitfraudFix
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Spiegel: Alternative Download-Spiegel:
http://siri.geekstogo.com/SmitfraudFix.exe
http://downloads.securitycadets.com/SmitfraudFix.exe
Anwendung:
Suche:
- Doppelklick auf die SmitfraudFix.exe
- Wähle die 1 und drücke auf Enter um einen Bericht der infizierten Dateien zu bekommen. Dieser Bericht soll gespeichert werden, als C:\rapport-1.txt
Reinigung:
- Starte deinen Rechner in den abgesicherten Modus neu auf (bevor das Windows Bild erscheint, die F8 Taste eindrücken, immer wieder F8 drücken)
Tipps & Tricks -> TIPP 4. Bitte den Rechner vom Internet trennen.
(beachte dazu unseren Sicherheitshinweis!)- Mach einen Doppelklick auf SmitfraudFix.exe
- Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen
- Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter um das Desktop Bild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.
- Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Du wirst möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter um eine saubere Datei zu bekommen.
- Du solltest deinen Rechner nun neu aufstarten, um den Reinigungsprozess zu beenden. Das Logfile solltest du speichern, als C:\rapport-2.txt
Optional:
- Wenn du die Zones und Restricted Zones wiederherstellen willst, gib die 3 ein und drücke auf Enter.
- Du wirst gefragt: Restore Trusted Zone ? antworte Y (ja) und drücke auf Enter um die Trusted Zones zu löschen.
- Wähle die 4, um zu überprüfen, ob das SmitFraudFix in der aktuellen Version vorliegt.
- Mit der Option 5 kannst du ein Hijacking der DNS Einträge auf deinem System finden und bereinigen.
Mehr dazu -> hier
Starte dein System neu auf.
Lade das FixAVG.reg herunter und speichere es auf deinem Desktop.
Mach einen Doppelklick auf die Datei FixVPP.reg auf deinem Desktop.
Beantworte die Frage, ob die Information von deinem System aufgenommen werden soll, mit Y (yes/ja), drücke dann auf den OK Button.
Klicke dann auf den Start Knopf und wähle die Option "Run".
Gib in das Fenster folgendes ein: c:\windows\system32
Drücke auf den OK Button.
Es kann sein, dass du nun die Auskunft erhältst, dass nicht alle Ordner und Dateien sichtbar sind.
Arbeite bitte diese Anleitung ab, damit alle Ordner und dateien sichtbar werden:
Ordneroptionen richtig einstellen
Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
Suche nun bitte im System32 Ordner die im folgenden aufgeführten Dateien, zunächst die wqzdtjg.dll, mach einen Rechtsklick auf die wqzdtjg.dll und benenne sie um in wqzdtjg.dll.bad
Suche nach der Datei ddllup.dll und benenne sie um in ddllup.dll.bad
Suche nach der Datei vmlwp.dll und benenne sie um in vmlwp.dll.bad
Suche nach der Datei lgaac.dll und benenne sie um in lgaac.dll.bad
Suche nach der Datei iheuv.dll und benenne sie um in iheuv.dll.bad
Suche nach der Datei pluwue.dll und benenne sie um in pluwue.dll.bad
Suche nach der Datei zdhgsp.dll und benenne sie um in zdhgsp.dll.bad
Suche nach der Datei jrpkmgh.dll und benenne sie um in jrpkmgh.dll.bad
Suche nach der Datei swqzdtj.dll und benenne sie um in swqzdtj.dll.bad
Suche nach der Datei vusxqm.dll und benenne sie um in vusxqm.dll.bad
Suche nach der Datei rnxwph.dll und benenne sie um in rnxwph.dll.bad
Suche nach der Datei vzfhprk.dll und benenne sie um in vzfhprk.dll.bad
Suche nach der Datei hymww.dll und benenne sie um in hymww.dll.bad
Suche nach der Datei mvwqn.dll und benenne sie um in mvwqn.dll.bad
Suche nach der Datei veptlh.dll und benenne sie um in veptlh.dll.bad
Suche nach der Datei rmtdvc.dll und benenne sie um in rmtdvc.dll.bad
Suche nach der Datei hteogat.dll und benenne sie um in hteogat.dll.bad
Suche nach der Datei txxkb.dll und benenne sie um in txxkb.dll.bad
Suche nach der Datei fifzqip.dll und benenne sie um in fifzqip.dll.bad
Suche nach der Datei flirek.dll und benenne sie um in flirek.dll.bad
Suche nach der Datei gdrtul.dll und benenne sie um in gdrtul.dll.bad
Suche nach der Datei siiyal.dll und benenne sie um in siiyal.dll.bad
Suche nach der Datei sttwrd.dll und benenne sie um in sttwrd.dll.bad
Suche nach der Datei rrtrit.dll und benenne sie um in rrtrit.dll.bad
Suche nach der Datei clbrcek.dll and rename the file to clbrcek.dll.bad
Suche nach der Datei gaaplp.dll and rename the file to gaaplp.dll.bad
Suche nach der Datei mxhfjy.dll and rename the file to mxhfjy.dll.bad
Solltest du diese Dateien nicht finden, melde dich bitte bei uns im Forum.
Wenn du die Dateien umbenannt hast, kannst du den System32 Ordner schliessen.
Starte deinen Rechner in den abgesicherten Modus neu auf (bevor das Windows Bild erscheint, die F8 Taste eindrücken, immer wieder F8 drücken)
Tipps & Tricks -> TIPP 4. Bitte den Rechner vom Internet trennen.
Wenn du im abgesicherten Modus bist, geh auf START -> Systemsteuerung -> Programme hinzufügen/entfernen:
Finde folgende Einträge und erlaube ihre Entfernung, aber starte den Rechner zwischendurch nicht neu auf:
AntiVirGear 3.7, AntiVirGear 3.8, und Online Video Add-on
Wenn diese Anwendungen komplett deinstalliert sind, kannst du folgende Dateien löschen:
C:\Windows\System32\wqzdtjg.dll.bad
C:\Windows\System32\ddllup.dll.bad
C:\Windows\System32\vmlwp.dll.bad
C:\Windows\System32\lgaac.dll.bad
C:\Windows\System32\iheuv.dll.bad
C:\Windows\System32\pluwue.dll.bad
C:\Windows\System32\zdhgsp.dll.bad
C:\Windows\System32\jrpkmgh.dll.bad
C:\Windows\System32\swqzdtj.dll.bad
C:\Windows\System32\vusxqm.dll.bad
C:\Windows\System32\rnxwph.dll.bad
C:\Windows\System32\vzfhprk.dll.bad
C:\Windows\System32\hymww.dll.bad
C:\Windows\System32\mvwqn.dll.bad
C:\Windows\System32\veptlh.dll.bad
C:\Windows\System32\rmtdvc.dll.bad
C:\Windows\System32\hteogat.dll.bad
C:\Windows\System32\txxkb.dll.bad
C:\Windows\System32\fifzqip.dll.bad
C:\Windows\System32\flirek.dll.bad
C:\Windows\System32\gdrtul.dll.bad
C:\Windows\System32\siiyal.dll.bad
C:\Windows\System32\sttwrd.dll.bad
C:\Windows\System32\rrtrit.dll.bad
C:\Windows\System32\clbrcek.dll.bad
C:\Windows\System32\gaaplp.dll.bad
C:\Windows\System32\mxhfjy.dll.bad
C:\Windows\System32\cfg.dat
C:\Windows\System32\ieffse32.dll
C:\Windows\System32\lbf.tme
C:\Windows\System32\regmod.exe
Leere die Ordner:
C:\Programme\AntiVirGear 3.7\
C:\Programme\AntiVirGear 3.8\
und lösche dann auch diese beiden Ordner.
Schliesse alle Anwendungen.
Lass nun entweder das SmitFraudFix nach oben angebener Anleitung laufen
oder starte deinen Rechner neu auf.
Nach beendeter Systemreinigung mit S!Ri's Remover oder manueller Art, geht es nun mit einem Online Scan weiter:
Scanne deinen Rechner mit einem Full System-Scan mit dem Panda Active Online-Scan.
1. klicke auf den "Scan your PC" button
2. klicke auf den "Check Now" button
3. Gib dein Land ein
4. Trage die Provinz ein
5. Gib deine email Adresse an und drücke auf senden
6. Wähle Home User (privat) oder Company (Firma)
7. Drücke nun auf den "Scan Now" button
8. Erlaube die Installation einer ActiveX Komponente
9. Warte geduldig bis der Download beendet ist
10. Klicke dann auf "Local Disks" um den Scan zu starten.
Lass das Programm alles entfernen, was es findet.
Der Scan kann ca 2-3 Stunden dauern.
Starte deinen Rechner nach dem Scan neu auf.
Bitte die Sicherheitsvorkehrungen im Internet-Explorer heruntersetzen und ActiveX erlauben. Vergiss nicht, die Sicherheitseinstellungen nach dem Scan wieder hochzustellen.
Anwender der Betriebssysteme Windows XP und ME bitte beachten:
Die Funktion, Systemwiederherstellung, die normalerweise auf "an" gestellt ist, ermöglicht eine Wiederherstellung des Systems im Falle, dass es beschädigt worden ist. Wenn ein Virus, Wurm oder Trojaner ein System infiziert, erstellt die Systemwiederherstellung ein Backup des Viruses, Wurms oder Trojaners auf dem Rechner und erstellt ihn neu. Folglich muss nach der Reinigung von Malware die Systemwiederherstellung im Wechsel deaktiviert und dann wieder aktiviert werden, dazwischen wird der Rechner neu gestartet. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein.
Windows XP: bitte zur eigenen Sicherheit einen neuen Systempunkt erstellen.
=======================
Wer sich weiter über Fake Video Codec, Trojan Zlob, Fake Spywareschutz Programme informieren möchte, findet dazu auf unseren Seiten viel Gelegenheit:
Um Infektionen dieser Art in Zukunft zu verhindern, empfehlen wir die Lektüre unseres Beitrags
Video ActiveX Access Remover
SpyLocked (Removal)
Safetyhomepage & IntCodec
isaddon.dll - ..Codec Remover
WinMediaCodec - Faketool
Video Codec: Info & Warnung
Spyware Quake Removal
SpywareStrike? Remove it
Spyware Infection? Remove it.
SpywareSheriff & Remover
Troj/FakeVir-M
Spyware Soft Stop Removal
Spyheal (Fake Tool)
VirusRescue (neuer Trojaner)
antispynet.com - Faketool Remover
SpyAxe|SpySheriff|SpywareStrike|AlfaCleaner|SpyFal con|SpywareQuake
Tipps & Tricks #1 und #2.
Bei dieser Anleitung handelt es sich in weiten Teilen um eine Übersetzung der englischen Anleitung von Grinler, BleepinComputer, vom September 2007, die wir mit Dank übernommen haben.
Bei Rückfragen und Problemen mit der Entfernung des neuen Fake Tools
stehen wir im Forum gern zur Verfügung.
