Antivirus Soft entfernen

[Paule]

Autor: bregovic

Antivirus Soft entfernen

Antivirus Soft ist eine Rogue Software. Sie gaukelt einem vor, dass der Rechner verseucht ist. In Wirklichkeit wird der Rechner aber durch die Software selbst verseucht.

Merkmale

• Verschiedene Fenster mit Sicherheitswarnungen erscheinen.
• Es wird ein Proxy eingetragen, der eine normale Internetverbindung nicht mehr zulässt.
• Es können keine systembezogenen Programme, wie z.B. der Taskmanager, mehr gestartet werden.
• Manipulation der Registry

Identifikation
Als erstes erscheint ein angebliches Security Fenster, das einen Scan durchführt..

Bild 1: Antivirus Soft Startfenster

Im Tray ist ein Icon für Antivirus Soft vorhanden, es wird eine Sicherheitswarnung ausgegeben.

Bild 2: Windows Sicherheitswarnung

Im Anschluss des Scans wird eine vermeintliche Infektion des Systems angezeigt, mit der Aufforderung einer Reaktion.

Bild 3: Vermeintliche Infektion

Der Aufruf des Browsers ist nur noch eingeschränkt möglich. Die Startseite ist verändert.

Bild 4: Manipulation des Internet Explorers

Ein Blick auf die Verbindungseinstellungen im Browser Menü (Extras-Internetoptionen-Verbindungen-LAN Einstellungen)zeigt, dass ein Proxy aktiviert wurde.

Bild 5: Proxy wurde aktiviert


Als Proxy ist Localhost eingetragen.

Bild 6: Proxy-Einstellungen


Zwischendurch öffnen sich immer wieder einige Fenster:
Das Sicherheitscenter von Microsoft.

Bild 7: Microsoft-Sicherheitscenter

Sobald versucht wird, systembezogene Programme zu öffnen, erscheint eine Fehlermeldung. Diese besagt, dass die jeweilige Anwendung infiziert sei und aus Sicherheitsgründen nicht gestartet wird. Die Fehlermeldung tritt u.a. auf bei:

• Aufruf der Windows Firewall Einstellungen.
• Aufruf des Taskmanagers.
• Aufruf von msconfig
• Aufruf eines Virenscanners.
• und verschiedenen anderen Programmen.
• Folgende Dateien werden erstellt:
  %UserProfile%\Local Settings\Application Data\<random>\
  %UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
  %UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe

Bild 8: rundll32.exe infiziert


Weiterhin werden zwischendurch immer wieder Angriffe gemeldet.

Bild 9: Angriffe?!


Sowie ein Hinweis, dass das System ungeschützt sei.

Bild 10: Ist das System wirklich geschützt?


Bereinigung
Eine Bereinigung ist nur im abgesicherten Modus möglich, da weder ein Internetzugang möglich, noch ein Removal Tool startbar ist.
Da auch msconfig nicht genutzt werden kann, muss der Neustart des Rechners über Start - neu starten geschehen.

Bild 11: Neu starten


Dann die Taste "F8" drücken, bis das Startmenü erscheint.
Ganz wichtig: Wähle abgesicherter Modus mit Netzwerkunterstützung.

Bild 12: Abgesicherter Modus

Bevor das Removal Tool heruntergeladen werden kann, muss das Häkchen für den Proxy in den Verbindungseinstellungen rausgenommen werden.

Bild 13: Proxyeinstellungen

Jetzt bitte Malwarebytes Anti-Malware herunterladen und starten.
Zum Bereinigen von Antivirus Soft reicht diesmal ein Quickscan.


Bild 14: Malwarebytes Anti-Malware

Wenn der Scan abgeschlossen ist, wird er die Infektion zeigen. Als nächsten Schritt auf "Ergebnisse anzeigen" klicken.

Bild 15: Scanergebnis

Logfile nach Scan:

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

06.02.2010 21:20:31
mbam-log-2010-02-06 (21-20-31).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99331
Laufzeit: 3 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\avsoft (Trojan.FakeAV) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
%UserProfile%\Local Settings\Application Data\<random>\<random>sysguard.exe
%UserProfile%\Local Settings\Application Data\<random>\<random>sftav.exe

Alle entdeckten Objekte von "Antivirus Soft" sollten markiert sein. Klickt nun auf "Auswahl entfernen" Falls ihr euch nicht sicher seid, ob die gefundenen Objekte wirklich zu "Antivirus Soft" gehören, postet ein Log File ins Malware-Forum. Wie ihr das Log File gegebenenfalls erstellt, könnt ihr hier nachlesen.

Bild 16: Funde

Der Rechner muss nun neu gestartet werden (normaler Modus). Bitte nach dem Neustart zur Sicherheit einen erneuten Scan durchführen. Das Ergebnis sollte negativ sein.

Bild 17: Scanergebnis

Das dazugehörige Logfile:

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.02.2010 21:29:15
mbam-log-2010-02-06 (21-29-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99664
Laufzeit: 3 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Falls ihr noch weitere Hilfestellungen benötigt oder Fragen habt, erstellt bitte hier ein neues Thema im Viren-Forum.