XPAntiVirus ist eine Rogue Antivirus Software, die als Taktik falsche Ergebnisse produziert, wenn sie auf einem Rechner läuft. Wenn XPAntivirus zum ersten Mal installiert worden ist, erstellt es 9 Einträge in der Windows Registrierung, die Infektionen auf dem befallenen System nachahmen. In Wirklichkeit sind diese sogenannten Infektionen harmlos und haben absolut keinen Einfluss auf den Rechner. Diese Einträge werden zu dem Zweck erstellt, damit XPAntiVirus sie findet, wenn es deinen Rechner scannt. Um diese angeblichen Infektionen, die XPAntiVirus beim Scan 'findet' zu entfernen, musst du die Vollversion von XPAntiVirus kaufen, denn die Trialversion entfernt keine Infektionen.

Dieses Programm ist Betrug.

Erst erstellt es Veränderungen auf dem betroffenen System, dann stellt es diese angeblichen Infektionen auf dem Rechner fest, damit der User eine Vollversion des Programmes käuflich erwirbt, um etwas zu entfernen, was zum einen harmlos, zum anderen durch das Programm selbst erstellt worden ist. Es sagt natürlich nicht dazu, dass du es unter keinen Umständen kaufen sollst. Das Programm zeigt eine Entfernungsroutine in der Liste der zu entfernenden/hinzuzufügenden Programme, diese Entfernungsroutine funktioniert jedoch nicht. Bei dem Versuch das Programm zu deinstallieren, entfernt man lediglich den Eintrag in diese Liste und beendet das laufende Programm. Beim nächsten Start des Rechners wird XPAntiVirus wieder mitaufgestartet.

Wir zeigen hier einen Screenshot von Bleeping Computer zu diesem Programm:


In einem HijackThis Logfile stehen folgende Einträge
(mit Ausnahme von XP Antivirus handelt es sich dabei um gefälschte malware Einträge):

O2 - BHO: (no name) - {4e7bd74f-2b8d-469e-dcf7-f96da086b434} - (no file)
O2 - BHO: (no name) - {6C6B8C69-9285-4D94-8492-9E920C8C2B65} - (no file)
O2 - BHO: (no name) - {74f25a2c-22b3-4023-8f1a-ca616c30a8b5} - (no file)
O2 - BHO: (no name) - {9a19966f-ae0e-4699-8cce-9b6f5f1c352c} - (no file)
O2 - BHO: (no name) - {D714A94F-123A-45CC-8F03-040BCAF82AD6} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\krln32.exe
O4 - HKLM\..\Run: [Windows Framework] C:\WINDOWS\system32\scvh0st.exe
O4 - HKLM\..\Run: [mmnext06] C:\Program Files\Common Files\trjdwnl.dll
O4 - HKLM\..\Run: [shellbn] C:\WINDOWS\shlext32.exe
O4 - HKCU\..\Run: [XP Antivirus] C:\Programme\XPAntivirus\XPAntivirus.exe

Eintrag unter Programme hinzufügen/entfernen:

XP antivirus 1.0.1
"C:\Programme\XPAntivirus\unins000.exe"

Entfernungshinweise für XP AntiVirus:

  1. Drucke diese Anleitung aus, da du im abgesicherten Modus arbeiten und somit keinen Zugang zum Netz haben wirst.
  2. Starte deinen Rechner in den abgesicherten Modus neu auf (bevor das Windows Bild erscheint, die F8 Taste eindrücken, immer wieder F8 drücken)
    Tipps & Tricks -> TIPP 4. Bitte den Rechner vom Internet trennen.
  3. Melde dich mit Administrator Rechten an.
  4. Klicke dann auf den START Knopf und wähle die Option "Ausführen".
    Gib in das Fensterchen folgendes ein: C:\Programme\
    Drücke auf den OK Button.
  5. Es kann sein, dass du nun die Auskunft erhältst, dass nicht alle Ordner und Dateien sichtbar sind.
    Arbeite bitte diese Anleitung ab, damit alle Ordner und Dateien sichtbar werden:

    Ordneroptionen richtig einstellen
    Im Windows-Explorer:
    >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.
  6. Wenn sich der Ordner C:\Programme\ öffnet, schau dir die Liste der Verzeichnisse an. Wenn du den Ordner XPAntivirus findest, mach einen Linksklick auf den Ordner um ihn zu kennzeichnen. Wähle nun die Löschtaste auf deiner Tastatur, um den Ordner zu entfernen. Beantworte die Frage mit Ja.
  7. Starte deinen Rechner neu auf, wenn du den Ordner von System entfernt hast.
  8. Wenn du den Rechner wieder aufgestartet hast, downloade das FixXPAV.reg und speichere es auf deinem Desktop, mit einem Rechtsklick auf den Link -> speichern als FixXPAV.reg unter alle Dateitypen.
  9. Mach einen Doppelklick auf die Datei FixXPAV.reg auf deinem Desktop.
  10. Beantworte die Frage, ob die Information von deinem System aufgenommen werden soll, mit Y (yes/ja), drücke dann auf den OK Button.
  11. Lösche den Inhalt der folgenden Ordner und die Ordner selbst (überspringe diesen Schritt, wenn du sie nicht findest):
    C:\Documents and Settings\All Users\Start Menu\Programs\XP antivirus\
    C:\programme\XPAntivirus\ (Dieser Ordner sollte nun bereits entfernt sein.)
  12. XP AntiVirus erstellt ein Ikon als Quick Launch, das wir ebenfalls entfernen:
    mach einen Rechtsklick auf das Ikon, um es zu entfernen.
  13. Starte deinen Rechner neu auf.
  14. Scanne deinen Rechner mit einem Full System-Scan mit dem Panda Active Online-Scan.

1. klicke auf den "Scan your PC" button
2. klicke auf den "Check Now" button
3. Gib dein Land ein
4. Trage die Provinz ein
5. Gib deine email Adresse an und drücke auf senden
6. Wähle Home User (privat) oder Company (Firma)
7. Drücke nun auf den "Scan Now" button
8. Erlaube die Installation einer ActiveX Komponente
9. Warte geduldig bis der Download beendet ist
10. Klicke dann auf "Local Disks" um den Scan zu starten.
  • Lass das Programm alles entfernen, was es findet.
  • Der Scan kann ca 2-3 Stunden dauern.
  • Starte deinen Rechner nach dem Scan neu auf.


Bitte die Sicherheitsvorkehrungen im Internet-Explorer heruntersetzen und ActiveX erlauben. Vergiss nicht, die Sicherheitseinstellungen nach dem Scan wieder hochzustellen.

Anwender der Betriebssysteme Windows XP und ME bitte beachten:

Die Funktion, Systemwiederherstellung, die normalerweise auf "an" gestellt ist, ermöglicht eine Wiederherstellung des Systems im Falle, dass es beschädigt worden ist. Wenn ein Virus, Wurm oder Trojaner ein System infiziert, erstellt die Systemwiederherstellung ein Backup des Viruses, Wurms oder Trojaners auf dem Rechner und erstellt ihn neu. Folglich muss nach der Reinigung von Malware die Systemwiederherstellung im Wechsel deaktiviert und dann wieder aktiviert werden, dazwischen wird der Rechner neu gestartet. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein.
Windows XP: bitte zur eigenen Sicherheit einen neuen Systempunkt erstellen.

=======================

Um Infektionen dieser Art in Zukunft zu verhindern, empfehlen wir die Lektüre unseres Beitrags
Tipps & Tricks #1 und #2.

Diese Anleitung ist eine Übersetzung der englischen Anleitung von Grinler BleepinComputer,
von Ruby für die deutschsprachigen Leser von HijackThis.de.


Bei Rückfragen und Problemen mit der Entfernung von XPAntiVirus stehen wir im Forum gern zur Verfügung.