AntiVir 2010 entfernen

[Paule]

Autor: markusg

AntiVir2010 entfernen



Hierbei handelt es sich um eine Rogue Software, die unter den folgenden Namen bekannt ist:

• Antivir2010
• Antivir 2010
• Antivirus 2010
• Antivirus2010

Dieses Programm möchte dich mit falschen Trojaner Warnungen zum Kauf verleiten. Es sind Variannten bekannt, die weitere Trojaner wie den Zlob oder Vundo Trojaner im Gepäck haben, eröffne deshalb einen Thread im Virenforum.


Verbreitungswege:

• - infizierte Webseiten
• - Keygeneratoren, Cracks

Symtome:
Folgende Dateien werden erstellt:

Code:

C:\WINDOWS\system32\UpdateCheck.dll
C:\Program Files\Common Files\Uninstall\AV\Uninstall.lnk
C:\Documents and Settings\Administrator\Desktop\Antivir.lnk
C:\Program Files\AV\antivir.exe
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\Windows\System32\wingamma.exe

Ordner:

Code:

C:\Program Files\Common Files\Uninstall\AV
C:\Program Files\AV

Prozesse:

Code:

antivir.exe
AV2010Installer[1].exe
wingamma.exe
AV2010.exe
AV2010[2].exe
QW2010i.exe
QW2010.exe

Einträge in der Registry:

Code:

HKEY_CLASSES_ROOT\CLSID\{d34d56e9-b37b-4c37-a854-1ac144592d5c}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d34d56e9-b37b-4c37-a854-1ac144592d5c}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{d34d56e9-b37b-4c37-a854-1ac144592d5c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d34d56e9-b37b-4c37-a854-1ac144592d5c}
HKEY_CURRENT_USER\SOFTWARE\XML
HKEY_CURRENT_USER\Environment\evapp
HKEY_CURRENT_USER\Environment\evuninst
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\av

Sobald das Programm gestartet wird, beginnt es das System zu scannen.



Dann kommen die vermeindlichen Funde



So sieht das Programmfenster aus.




Entfernung:

1. Download das Programm MalwareBytes: www.malwarebytes.org
2. Starte das Programm nach der Installation, klicke auf die Registerkarte Updates und führe ein Update durch.
3. Ist das Update abgeschlossen klicke auf die Registerkarte Scanner, wähle, alle Laufwerke aus und starte einen kompletten Scan.

Wenn der Scan fertig ist, klicke bitte auf Ergebnisse anzeigen, entferne alles, was angezeigt wird, du musst eventuell deinen PC neu starten.

Logfile:

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3725
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
11.02.2010 17:57:05
mbam-log-2010-02-11 (17-57-05).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 115199
Laufzeit: 14 minute(s), 31 second(s)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4
Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\markus\Desktop\antivir.exe (Trojan.FakeAlert) -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Environment\evapp (Rogue.Antivir2010) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Environment\evuninst (Rogue.Antivir2010) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\av (Rogue.Antivir2010) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
C:\Programme\Gemeinsame Dateien\Uninstall\AV (Rogue.Antivir2010) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Dokumente und Einstellungen\markus\Desktop\antivir.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\markus\Desktop\Setup_2004.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\Gemeinsame Dateien\Uninstall\AV\Uninstall.lnk (Rogue.Antivir2010) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\markus\Desktop\Antivir.lnk (Rogue.Antivir2010) -> Quarantined and deleted successfully.

Da die Möglichkeit weiterer Malware durch aus gegeben ist, erstelle zur Sicherheit einen neuen Thread im Virenforum.