Thema: AntiVirGear Virus

Ich habe folgendes Problem:

Beim serven im I-Net poppte eine Downloadseite von AntivirGear auf.
Als ich dann auf schließen ging, installierte sich das Programm mit einem Eintrag ?Security Tollbar? in meinem Internet Explorer plus den ?AntiVirGear.
Zum Glück habe ich alles manuell, dank Google-Seiten, die ?Toolbar? und den ?AntiVirGear? wieder vom Rechner bekommen.

Bis leider auf eins, und zwar den AntiVirGear-?Guard?:
Ich habe die ganze Zeit ein kleines Bild unten rechts in der Taskleiste was immer rot-blau aufblinkt.
Hin und wieder kommt dann eine Warnung ?System Alert?, das ganz viel Malware auf dem PC gefunden hätte.

Wenn ich auf den blinkenden Ikon klicke, öffnet sich eine Internet Explorer Seite, die mich zum Download von Antivirgear verleiten will.

Ich habe mehrere Tools, wo ich den Autostart aller Windows-Software und sonstige Autostarts in der Regestry einsehen kann,
aber ich weiß leider nicht, welche Datei zu diesem ?Guard? gehört.

Wie bekomme ich diesen Müll von meinem PC wieder runter ?
Weiß jemand, wie ich den Autostart manuell stoppen kann, um den Rotz endlich zu löschen.

Schönen Dank schon mal im voraus.

ich habe auch antivir sogar premium aber so ein gear habe ich nicht
ist das programm überhaupt von antivir?
AntiVirGear entfernen, AntiVirGear entfernung

keine ahnung

ich habe auch antivir sogar premium aber so ein gear habe ich nicht
ist das programm überhaupt von antivir?

Sorry KA, aber es geht hier nicht um AntiVir, den habe ich ja als Viren-Scanner gewollt auf meinem Rechner.
Es geht hier um den "AntiVirGear", und der ist ein "Fake".
Ich habe mich ja schon im Netz informiert, und der "AntiVirGear" soll ein Trojaner sein.
Wie man an meinem Beispiel ersehen kann, kann man ihn mit normalen Mitteln nicht vom Rechner deinstallieren.
Das ist auch bekannt, nur finde ich keine Info im Netz, wie ich den "Guard", der mich immer verlinken will, von meinem Rechner bekomme.

habs auch schon gelesen ziehmlich gemeines programm auf meinen link steht aber wie du ihn entfernen kannst

Ja KA, auf dieser Seite war ich auch schon.
Bin auch nach und nach alles abgegangen.
Aber den blöden "Guard" bin ich nicht losgeworden.

Den muß ich erst mal deaktiviren, aber ich weiß nicht wo.
Ich finde den Autostart nicht, weil ich den Dateinamen von diesem "Guard" nicht kenne.
In der Regestry habe ich ja schon alles gelöscht, aber solange der "Guard" aktiv ist, bekomme ich den nicht runter.

Solange ich nicht weiß, wo ich den Autostart deaktiviren kann, bekomme ich den nicht gelöscht.
Im normalen Autostart ist er jedenfalls nicht, auch über "TuneUP" ist er nicht zu erkennen.
Der Autostart scheint irgenwo in dem System zu stecken, und da bräuchte ich halt den Dateinamen von diesem "Übeltäter".

Das einfachste wäre ihn nicht erst starten zu lassen. In dem du im Abgesicherten Modus startest

Ist im übrigen immer ratsam solche Plagegeistes los zu werden.

//Edit: es könnte auch ein Dienst sein, da wirst du nichts im Autostart finden.
Kannst du rausfinden in dem du über die Systemsteuerung -> auf Verwaltung -> Computerverwaltung -> Dienste gehst. (alternativ rechtsklickt auf Arbeitsplatz Icon -> Verwaltung -> Dienste)

er muss sich ja im firewll freigeschaltet haben,kannst du da nicht nach dem datum suchen?

Das_Es

Das einfachste wäre ihn nicht erst starten zu lassen. In dem du im Abgesicherten Modus startest

Ist im übrigen immer ratsam solche Plagegeistes los zu werden.

//Edit: es könnte auch ein Dienst sein, da wirst du nichts im Autostart finden.
Kannst du rausfinden in dem du über die Systemsteuerung -> auf Verwaltung -> Computerverwaltung -> Dienste gehst. (alternativ rechtsklickt auf Arbeitsplatz Icon -> Verwaltung -> Dienste)

Hmm, Abgesicherter Modus ist ein guter Tip, aber dann weiß ich immer noch nicht, wo der Übeltäter zu suchen ist, um ihn zu löschen.
Denn ich weiß leider nicht, wie die Datei von dem „Guard“ heißt.
In der Verwaltung war ich auch schon, nur welchen Dienst muß ich da deaktivieren ?

Ach, was mir noch einfällt, wenn ich den I-Netz-Stecker rausziehe, kommt dann diese Meldung „Server nicht gefunden“,
mit der Adresse "antivirgear.com/?aff=1003" ( natürlich mit http//www. ).
Wenn ich auf den Ikon klicke.
Vielleicht hilft euch dieser Hinweis.

P.S.: KA ich habe die Firewall nicht als Software sondern in meinem Router, und da kann ich nichts nachlesen, soviel ich jedenfalls weiß.

was hier evtl nicht schlecht wäre ist hijackthis
Einfach mal die log bei der Auswertung durchlaufen lassen, und ggf. Hier den Log posten, das wer anderes mal drauf gucken kann

Danke Das_Es.

Habe mal das Programm durchlaufen lassen.

Folgendes ist bei rausgekommen:

Logfile of HijackThis v1.99.1
Scan saved at 10:27:29, on 26.09.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\LastGood\Logi_MwX.Exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Ramon\LOKALE~1\Temp\Rar$EX00.153\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: Shell Doc Object and Control Helper Class - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Pro\CCHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Editor plugin - {4E82568D-484A-4341-8318-358F0813FA45} - trip1.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Programme\Panicware\Pop-Up Stopper Pro\popuppro.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {08D390AE-5101-4701-A89F-6C6DADCCC402} (MSN Photo Select Tool) - http://photos.msn.de/resources/neutr...cab?10,0,910,0
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A1CD68C-9471-44F7-AFF1-8F826D26A873}: NameServer = 192.168.0.50
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Ich kann nur hoffen, dass einer von euch damit etwas anfangen können.

Freaky

Danke Das_Es.

Habe mal das Programm durchlaufen lassen.

Folgendes ist bei rausgekommen:

Logfile of HijackThis v1.99.1
Scan saved at 10:27:29, on 26.09.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\LastGood\Logi_MwX.Exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Ramon\LOKALE~1\Temp\Rar$EX00.153\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: Shell Doc Object and Control Helper Class - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\ \CCHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Editor plugin - {4E82568D-484A-4341-8318-358F0813FA45} - trip1.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Pa&nicware Pop-Up Stopper Pro - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Programme\Panicware\Pop-Up Stopper Pro\popuppro.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {08D390AE-5101-4701-A89F-6C6DADCCC402} (MSN Photo Select Tool) - http://photos.msn.de/resources/neutr...cab?10,0,910,0
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A1CD68C-9471-44F7-AFF1-8F826D26A873}: NameServer = 192.168.0.50
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: scsiusr4 - scsiusr4.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Ich kann nur hoffen, dass einer von euch damit etwas anfangen können.

Was bei den was ich jetzt im Log gefettet habe am besten einfach mal die checkbox aktivieren und dann auf Fix checket klicken. Bei der Sache was Grün ist habe ich mehre Möglichkeiten gefunden was das sein kann. Das nahe liegendsten war bis her die Rootkit variante. Eigentlich sollte hier ein Virenscanner drauf kommen. Sonst gibt es nichts außergewöhnliches wie erhofft. Warten wir einfach mal noch andere Meinungen zu den Logs ab.
Derweil kannst du ja mal bei den Diensten noch einmal nachgucken. Besonders verdächtig sind Dienste ohne oder mit englischer Beschreibung (wenn man ein deutsches OS hat). Bei solchen einfach mal in google gucken was so die ersten Seiten sagen (die Beschreibung die Google ausspuckt reichen oft zum ungefähren einschätzten).

P.S. SP 2 für XP wäre nicht schlecht
schlisst unter anderem einige Lücken

1.) Ad-Aware runterladen und installieren
2.) Vernuenftigen Viruskiller suchen (zB Kaspersky oder NOD)
3.) Internet Explorer gegen Firefox austauschen, damit sowas garnicht erst passiert.

Jo würd ich auch sagen, Firefox gegen IE tauschen, aber auf mich hört ja keiner

Sodale, erstmal danke an euch allen.
Mit Hilfe vom Kaffeetrinker (alias Helle), wurde der „Mistkäfer“ endlich entdeckt und Fachmännisch in die ewigen Jagdgründe gebannt worden.


Danke KA: Du hast dir richtig Mühe gegeben mir zu helfen, leider ohne Erfolg. Aber der Wille zählt.


Danke Das_Es: Durch dich haben wir einen Teilerfolg gehabt.
Deinen Tipp, die ganze Sache über eine Rootkit-Software laufen zu lassen, was wir auch getan haben, aber nichts brachte, sind wir auf eine tolle Software gestoßen (SUPERAntiSpyware).

Hier mal der Link, falls noch andere User mal dieses Problem bekommen sollten.

Deinen Tipp, mit dem XP-SP2 habe ich mir auch gleich zu Brust genommen.

Übrigens, selbst im „Abgesicherten Modus“ war das „Mistvieh“ noch aktiv.


Danke Mire: Auch dein Tipp habe ich mir zu Herzen genommen.
Habe jetzt Firefox installiert. Den Rest hatte ich schon, die aber nichts gefunden hatten.


Zu guter letzt !!!

Danke Kaffeetrinker (Mein guter Nachbar)
Du hast es dann doch noch geschafft, meinen Rechner auf Fordermann zu bringen.
Mit etwas Geduld und Schweiß, bist du auf der C-Platte rumgehüpft, dass ich gar nicht so schnell gucken konnte.

So, noch mal an alle.
Ich habe aus diesem Schaden gelernt und eure Tipps wahrgenommen.
Das so etwas nicht mehr vorkommt, habe ich auch gleich ein „Backup“ gemacht.

Hallo zusammen

Alle bei Google in den ersten Seiten angebotenen Rettungen kommen wohl vom gleichen Ort wie das Virus selbst, sprich man will Kasse machen.

Ich habe meinen Rechner mit Windows XP mit folgender Methode vom Übel befreien können.

1.Wähle folgenden Link

SmitFraudFix

2. Drucke die Beschreibung auf deinem Drucker aus

3. Downloade folgendes Programm:

http://siri.geekstogo.com/SmitfraudFix.exe

Lösche nun das Übel genau so, wie auf der ausgedruckten Beschreibung beschrieben.


Es sit zwar auch ein exe Programm, aber es funktioniert wirklich und ist seriös. Mein rechner geht wieder tipptopp.

Freaky

Ich habe folgendes Problem:

Bis leider auf eins, und zwar den AntiVirGear-?Guard?:
Ich habe die ganze Zeit ein kleines Bild unten rechts in der Taskleiste was immer rot-blau aufblinkt.
Hin und wieder kommt dann eine Warnung ?System Alert?, das ganz viel Malware auf dem PC gefunden hätte.

also ich hatt dieses dingens auch .... adaware + arvria home haben bei mir gereicht:
das dingens nennt sich "TR/Fakealert.P" und versteckt sich in der system32 (bei mir in der "bqrcr.dll")

erstmal antivirgear deinstallieren, dann adaware drüberlaufen lassen und den ganzen spywarekram löschen, bei avira einfach mal alle dateien durchscannen lassen und die gute "fakealert" löschen - da sie sich nicht gleich löschen lässt bietet avira an die gesperrte datei nach dem neustart zu löschen....praktisch und funzt auch.

ich hoff dieser "einfache" weg funktioniert nicht nur bei mir sondern hilft mehreren/allen betroffenen.

Ich sage nur regelmäßig Systemwiederherstellungspunkte setzen und Systemimages speichern. Externe 500GB-Platten kosten noch gut 100€, und die ist es mir wert, mein System jederzeit wieder auf einen älteren Stand zurücksetzen zu können, selbst wenn meine interne Festplatte ihren Geist aufgeben sollte.

Hatte mir Samstag,03.11., das gleiche Problem eingefangen. Ist nicht "Antivirgear"-Virus. Sind zwei Trojaner: "win32.zlob.ecz" und "win32.bojo.r". Meine Internet-security ist Kaspersky (umsonst auf Computerbild). Hat "zlob" entdeckt und gelöscht. Das Ding hat sich aber bei jedem PC-Neustart wieder reproduziert. Ich wusste über Kaspersky aber, wo er ist. Habe dem Moonster Arme und Beine abgehackt, sprich exe.Dateien, die es mit sich machen ließen, umbenannt in tif.Dateien. Die gelöscht. Dann konnte Kaspersky es endgültig löschen.
Der Blinker rechts unten war aber nicht wegzukriegen.
Habe Kasperskys Sicherheitsstufe von empfohlen auf höchste gestellt und laufen lassen. Dabei fand es "blob". War in "C:\windows\system32\yneid.dll".
Gelöscht. Nochmal laufen lassen. War noch in "C:\System Volume Information\_restore...Gelöscht.
Nochmal laufen lassen. Alles clean.
Viel Erfolg!!!
Thorsten