Antivirus
|
AntivirusGolden , lkpf.exe , AntiVirus Gold Rogue Security Program - de.wikipedia.org
Die Infektion erfolgt in der Regel per Drive-by-Download, anschließend wird eine Meldung ausgegeben, der Computer sei infiziert. Oft imitiert Rogueware dabei eine Warnmeldung von Windows täuschend echt, wobei die Meldung allerdings häufig englischsprachig ist. Diese Meldung ist aber unabhängig von der Existenz eines Schadprogramms, wobei in den meisten Fällen von Spyware die Rede ist. Außerdem ist keine Datei angegeben, in der sich der angebliche Schädling verstecken soll. Mitunter hat die "kostenpflichtige Vollversion" keine oder aber sogar eine tatsächlich bösartige Funktion, Rogueware kann also ein Trojanisches Pferd im fachsprachlichen Sinn sein. Zudem kann der Inhalt der Internetseite eines solchen Programms fragwürdig sein. Rogue-Software wird in der Regel von seriösen Antivirenprogrammen erkannt.
die Registry muss gereinigt und die temporären Dateien gelöscht werden.
Combofix
2006-10-05 13:58 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))) 2006-09-22 15:44 -------- d-------- C:\Programme\AntivirusGolden 2006-10-06 13:47 -------- d-------- C:\Programme\AntivirusGolden
Avenger
Counterspy/Vipre - anwenden
Gmer - Rootkit finden
SpamTool.Win32.Mailbot.az Trojan more information... HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lzx32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lzx32
Smitfraudfix anwenden
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\A\STARTM~1\AntivirusGolden 3.3.lnk FOUND ! C:\DOKUME~1\A\STARTM~1\PROGRA~1\AntivirusGolden FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! %PROGRAMFILES%\AntivirusGolden\ %DESKTOP%\AntivirusGolden.lnk %USERPROFILE%\StartMenu\AntivirusGolden 3.3.lnk %USERPROFILE%\StartMenu\Programs\AntivirusGolden\ %USERPROFILE%\Application Data\Microsoft\Internet Explorer\Quick Launch\AntivirusGolden 3.3.lnk Verzeichnis von C:\Programme\AntivirusGolden 22.05.2006 23:35 2'269'184 AntivirusGolden.exe 14.03.2006 13:13 634'880 DbgHelp.Dll 21.07.2006 13:05 0 ignored.lst 21.07.2006 13:05 -DIR- Logs 21.07.2006 13:05 246 monitorConfig.xml 21.07.2006 13:05 232 usageStats.xml + Temp\lkpf.exe + Temp\AGLanguage.ini + msvcp71.dll + uninst.exe + msvcr71.dll + db.dat C:\PROGRAM FILES\AntivirusGold + STARTMENU\AntivirusGold 2.0.lnk C:\Programme\AntivirusGolden\AntivirusGolden.exe C:\Programme\AntivirusGolden\DbgHelp.Dll C:\Programme\AntivirusGolden\ignored.lst C:\Programme\AntivirusGolden\monitorConfig.xml C:\Programme\AntivirusGolden\usageStats.xml C:\Programme\AntivirusGolden\AntivirusGolden.url C:\Programme\AntivirusGolden\AntivirusGolden\msvcr71.dll C:\Programme\AntivirusGolden\AntivirusGold\uninst.exe C:\Programme\AntivirusGolden\AntivirusGold\db.dat.old HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusGold HKEY_CLASSES_ROOT\AppID\Cerberus.EXE HKEY_CLASSES_ROOT\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5} HKEY_CLASSES_ROOT\Cerberus.EngineListener HKEY_CLASSES_ROOT\Cerberus.EngineListener.1 HKEY_CLASSES_ROOT\Cerberus.Scanner HKEY_CLASSES_ROOT\Cerberus.Scanner.1 HKEY_CLASSES_ROOT\Cerberus.ThreatCollection HKEY_CLASSES_ROOT\Cerberus.ThreatCollection.1 HKEY_CLASSES_ROOT\CLSID\{020B1227-417D-4682-9AC3-61F43CB5B6B1} HKEY_CLASSES_ROOT\CLSID\{125494B2-ACAD-414c-98B9-452F3EF7703A} HKEY_CLASSES_ROOT\CLSID\{20A3D913-30EF-4e69-B3F7-93B3F1FB9D5C} HKEY_CLASSES_ROOT\CLSID\{3D00A39C-655B-428b-AEB2-2FBA03DCC49C} HKEY_CLASSES_ROOT\CLSID\{408F660A-9465-44a3-B557-8709DFD992BC} HKEY_CLASSES_ROOT\CLSID\{5F6BBD8A-18CF-4d55-8B4C-C9B4C9328DFE} HKEY_CLASSES_ROOT\CLSID\{8C56B6CE-C53F-44c4-9BDC-A9BC1711D05A} HKEY_CLASSES_ROOT\CLSID\{8EE6BF73-B370-4d13-9126-EB0071178F2E} HKEY_CLASSES_ROOT\CLSID\{97F56E12-C706-4aeb-9FFB-133C05EE5D38} HKEY_CLASSES_ROOT\CLSID\{9BB7E700-4E48-476d-B75C-6F47606BE988} HKEY_CLASSES_ROOT\CLSID\{9CB478A2-CA39-0CFD-EFAC-DB80710601D3} HKEY_CLASSES_ROOT\CLSID\{CBCACA58-1AEE-4600-8CF0-E8B30BFF1535} HKEY_CLASSES_ROOT\CLSID\{D6D64CDF-0363-4261-B723-29A3AF365E1D} HKEY_CLASSES_ROOT\Engine.Backup HKEY_CLASSES_ROOT\Engine.Backup.1 HKEY_CLASSES_ROOT\Engine.IgnoreList HKEY_CLASSES_ROOT\Engine.IgnoreList.1 HKEY_CLASSES_ROOT\Engine.Log HKEY_CLASSES_ROOT\Engine.Log.1 HKEY_CLASSES_ROOT\Engine.LogRecord HKEY_CLASSES_ROOT\Engine.LogRecord.1 HKEY_CLASSES_ROOT\Engine.Paths HKEY_CLASSES_ROOT\Engine.Paths.1 HKEY_CLASSES_ROOT\Engine.Quarantine HKEY_CLASSES_ROOT\Engine.Quarantine.1 HKEY_CLASSES_ROOT\Engine.RunAs HKEY_CLASSES_ROOT\Engine.RunAs.1 HKEY_CLASSES_ROOT\Engine.SearchItem HKEY_CLASSES_ROOT\Engine.SearchItem.1 HKEY_CLASSES_ROOT\Engine.Threat HKEY_CLASSES_ROOT\Engine.Threat.1 HKEY_CLASSES_ROOT\Interface\{27ED4AC2-B6D8-4079-9831-017A100B391E} HKEY_CLASSES_ROOT\Interface\{3F6D6C35-FB73-45E6-9473-BB4CC25CE019} HKEY_CLASSES_ROOT\Interface\{715D709B-2B10-42FA-A069-297D25D93601} HKEY_CLASSES_ROOT\Interface\{872C1B1E-3CF0-4D3A-95E5-A0C662D2854C} HKEY_CLASSES_ROOT\Interface\{886B1D08-B404-40F0-AA18-4E416682A2E9} HKEY_CLASSES_ROOT\Interface\{8B5F65CF-0B0A-4291-8DA2-86D7F7B0A6DB} HKEY_CLASSES_ROOT\Interface\{925B0211-A1C1-4712-8FCA-5F5B8101736D} HKEY_CLASSES_ROOT\Interface\{B01E37C4-5497-4D58-9FFD-D5653B8DC866} HKEY_CLASSES_ROOT\Interface\{CCAA201C-C48D-48A8-A1E8-846562CBF1C1} HKEY_CLASSES_ROOT\Interface\{D483521B-D5CC-43FF-A45A-9BE4A8E6606E} HKEY_CLASSES_ROOT\Interface\{ED2AFF47-B7BE-4273-A203-C796E87F72D2} HKEY_CLASSES_ROOT\Interface\{F0FA7ED9-5A0A-4374-B63E-BEBAFD52192E} HKEY_CLASSES_ROOT\Interface\{F5DEE77C-87EB-4E00-BBF9-8CBF3BDEA7AF} HKEY_CLASSES_ROOT\Interface\{FB5DDAB7-6AA5-4E97-9541-5A75ADDF4ABA} HKEY_CLASSES_ROOT\Interface\{FDDF521B-0EBE-4D15-838C-73E2D851161B} HKEY_CLASSES_ROOT\Interface\{FF609434-EB47-481B-BA0E-1D2B467629A5} HKEY_CLASSES_ROOT\TypeLib\{60F94D7D-563E-4942-B5EC-2DE9C135C139} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\AntivirusGold.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntivirusGold HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AntivirusGold " blinkt im System Tray ein gelbes Dreieck mit Ausrufezeichen drin. Es ist zwar immer die selbe Meldung, wie in den anderen Beiträgen hier im Forum auch, aber ich bekomme es einfach nicht weg. Wenn ich drauf klicke werde ich auf antivirusgolden.com weitergeleitet" C:\Arquivos de programas\AntivirusGolden\AntivirusGolden.exe C:\Arquivos de programas\AntivirusGolden\AntivirusGolden.exe C:\WINDOWS\system32\atmclk.exe C:\WINDOWS\System32\dcomcfg.exe 
HijackThis
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\System32\hp100.tmp O2 - BHO: CompSegIB - {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - C:\WINDOWS\system32\scpsssh2.dll O2 - BHO: Nothing - {686a161d-5bd1-4999-8832-6393f41e564c} - C:\WINDOWS\system32\hp100.tmp O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\DOWNLO~1\gbieh.dll O4 - HKLM\..\Run: [AntivirusGolden] C:\Program Files\AntivirusGolden\AntivirusGolden.exe /h
smitfraudfix
C:\WINDOWS\system32\atmclk.exe FOUND ! C:\WINDOWS\system32\dcomcfg.exe FOUND ! C:\WINDOWS\system32\hp???.tmp FOUND ! C:\WINDOWS\system32\hp????.tmp FOUND ! C:\WINDOWS\system32\ld????.tmp FOUND ! C:\WINDOWS\system32\ot.ico FOUND ! C:\WINDOWS\system32\regperf.exe FOUND ! C:\WINDOWS\system32\simpole.tlb FOUND ! C:\WINDOWS\system32\stdole3.tlb FOUND ! C:\WINDOWS\system32\ts.ico FOUND ! C:\WINDOWS\system32\1024\ FOUND !
Please read this Message 
Urgente System Message: Virus! 
AntiVirus Gold Rogue Security Program more information...Details: AntiVirus Gold is a is a purported anti-spyware and antivirus application to scan for and remove malware from users' computers.HKEY_CLASSES_ROOT\Interface\{27ED4AC2-B6D8-4079-9831-017A100B391E} HKEY_CLASSES_ROOT\Interface\{3F6D6C35-FB73-45E6-9473-BB4CC25CE019} HKEY_CLASSES_ROOT\Interface\{715D709B-2B10-42FA-A069-297D25D93601} HKEY_CLASSES_ROOT\Interface\{886B1D08-B404-40F0-AA18-4E416682A2E9} HKEY_CLASSES_ROOT\Interface\{8B5F65CF-0B0A-4291-8DA2-86D7F7B0A6DB} HKEY_CLASSES_ROOT\Interface\{925B0211-A1C1-4712-8FCA-5F5B8101736D} HKEY_CLASSES_ROOT\Interface\{B01E37C4-5497-4D58-9FFD-D5653B8DC866} HKEY_CLASSES_ROOT\Interface\{CCAA201C-C48D-48A8-A1E8-846562CBF1C1} HKEY_CLASSES_ROOT\Interface\{D483521B-D5CC-43FF-A45A-9BE4A8E6606E} HKEY_CLASSES_ROOT\Interface\{FB5DDAB7-6AA5-4E97-9541-5A75ADDF4ABA} HKEY_CLASSES_ROOT\Interface\{27ED4AC2-B6D8-4079-9831-017A100B391E} HKEY_CLASSES_ROOT\Interface\{3F6D6C35-FB73-45E6-9473-BB4CC25CE019} HKEY_CLASSES_ROOT\Interface\{715D709B-2B10-42FA-A069-297D25D93601} HKEY_CLASSES_ROOT\Interface\{872C1B1E-3CF0-4D3A-95E5-A0C662D2854C} HKEY_CLASSES_ROOT\Interface\{886B1D08-B404-40F0-AA18-4E416682A2E9} HKEY_CLASSES_ROOT\Interface\{8B5F65CF-0B0A-4291-8DA2-86D7F7B0A6DB} HKEY_CLASSES_ROOT\Interface\{925B0211-A1C1-4712-8FCA-5F5B8101736D} HKEY_CLASSES_ROOT\Interface\{B01E37C4-5497-4D58-9FFD-D5653B8DC866} HKEY_CLASSES_ROOT\Interface\{CCAA201C-C48D-48A8-A1E8-846562CBF1C1} HKEY_CLASSES_ROOT\Interface\{D483521B-D5CC-43FF-A45A-9BE4A8E6606E} HKEY_CLASSES_ROOT\Interface\{ED2AFF47-B7BE-4273-A203-C796E87F72D2} HKEY_CLASSES_ROOT\Interface\{F0FA7ED9-5A0A-4374-B63E-BEBAFD52192E} HKEY_CLASSES_ROOT\Interface\{F5DEE77C-87EB-4E00-BBF9-8CBF3BDEA7AF} HKEY_CLASSES_ROOT\Interface\{FB5DDAB7-6AA5-4E97-9541-5A75ADDF4ABA} HKEY_CLASSES_ROOT\Interface\{FDDF521B-0EBE-4D15-838C-73E2D851161B} HKEY_CLASSES_ROOT\Interface\{FF609434-EB47-481B-BA0E-1D2B467629A5} anderer PC C:\WINDOWS\drsmartload2.dat C:\Programme\TClock\tclock_install.exe C:\WINDOWS\system32\bszip.dll C:\WINDOWS\system32\cmd.com C:\WINDOWS\system32\isnotify.exe C:\WINDOWS\system32\netstat.com C:\WINDOWS\system32\ping.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\system32\taskkill.com C:\WINDOWS\system32\tasklist.com C:\WINDOWS\system32\tracert.com C:\Programme\Safety Bar C:\Programme\winupdates C:\WINDOWS\system32\components C:\Programme\Gemeinsame Dateien\{40A50906-0BB0-1031-0203-060506210031} C:\WINDOWS\system32\ishost.exe C:\WINDOWS\system32\ismini.exe C:\WINDOWS\system32\issearch.exe C:\WINDOWS\system32\ixt0.dll ((((((((((((((((((((((((((((((( Files Created from 2006-08-26 to 2006-09-26 )))))))))))))))))))))))))))))))))) 2006-09-26 16:42 19,968 --a------ C:\WINDOWS\system32\ixt1.dll 2006-09-25 21:05 45,525 --a------ C:\WINDOWS\system32\itkbucov.dll 2006-09-25 21:05 143,380 --a------ C:\WINDOWS\system32\nvjtduou.exe 2006-09-23 17:33 634,078 ---hs---- C:\WINDOWS\system32\ghkmp.ini2 2006-09-23 10:58 658,215 ---hs---- C:\WINDOWS\system32\ghkmp.bak2 2006-09-21 17:26 658,385 ---hs---- C:\WINDOWS\system32\ghkmp.bak1 2006-09-21 17:26 577,588 ---hs---- C:\WINDOWS\system32\pmkhg.dll 2006-09-21 14:05 3,004 --a------ C:\WINDOWS\system32\fxmngr.exe 2006-09-21 13:59 94,208 --a------ C:\WINDOWS\system32\uhvjsul.dll 2006-09-21 12:32 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-26 16:43 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-26 16:42 -------- d-------- C:\Programme\TClock 2006-09-25 21:05 -------- d-------- C:\Programme\VSToolbar 2006-09-25 21:05 -------- d-------- C:\Dokumente und Einstellungen\Arslan\Anwendungsdaten\SearchToolbarCorp 2006-09-22 16:44 -------- d-------- C:\Programme\VirusRescue 2006-09-22 15:44 -------- d-------- C:\Programme\AntivirusGolden 2006-08-17 10:47 186 --a------ C:\WINDOWS\system32\n.bat 2006-08-17 10:47 128 --a------ C:\WINDOWS\system32\install.exe 2006-08-17 10:47 128 --a------ C:\WINDOWS\system32\dr.exe HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhg
Avenger
scanne mit Smitfrautfix (option 1 und 2 )
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\User\STARTM~1\AntivirusGolden 3.3.lnk FOUND ! C:\DOKUME~1\User\STARTM~1\PROGRA~1\AntivirusGolden FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Arslan\FAVORI~1 C:\DOKUME~1\User\FAVORI~1\Antivirus Test Online.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !
scanne mit Vundofix
Adware:Adware/SuperSpider Packed.Win32.Klone.g C:\VundoFix Backups\winrkp32.dll.bad C:\WINDOWS\system32\brvelakq.dll Packed.Win32.Klone.k
Onlinescan Kaspersky
C:\WINDOWS\system32\brvelakq.dll Packed.Win32.Klone.k C:\Programme\Antivirus-Golden 2006-11-24 02:13 DIR d-------- C:\Programme\MalwareWiper 2006-11-24 02:01 DIR d-------- C:\Programme\Antivirus-Golden |
