Trojaner/Fakeprogramm SecurityFighter: Wie werde ich ihn los?

[Steffen D]

Hallo,

 

ich habe unbemerkt das Fakeprogramm SecurityFighter runtergeladen. Es nervt mich aller 30sekunden mit Warntönben und Warnmeldungen über den Angriff von Viren. Bisher habe ich rausgefunden das dies eine Masche ist damit man das payware programm davon kauft.

 

Ich kann nirgents das Programm löschen noch finde ich irgentwo Einträge, bin drauf und dran meine c: zu formatieren.

 

SecurityFighter wird eine falsche Systemüberprüfung generieren mit falschen Ergebnissen. Wenn Ihr Computer in letzter Zeit langsamer geworden ist oder unstabil besteht die Möglichkeit, dass sich SecurityFighter auf Ihrem Computer befindet.

 

Ignorieren Sie alle Sicherheitsmeldungen von SecurityFighter, aber vergessen Sie nicht, dass Ihr Computer trotzdem infiziert ist, und diese Infektion ist SecurityFighter selbst. Kaufen Sie keine Vollversion von SecurityFighter, die verspricht, alle Probleme zu beseitigen. Denn die einzigen Probleme die Sie tatsächlich haben sind die Probleme, die SecurityFighter verursacht hat. Sie müssen es von Ihrem System entfernen und nicht nachlassen, bis Ihr System komplett bereinigt ist.

 

Hier ist meine Logfile von HijackThis

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\RtHDVCpl.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\System32\dj9gs8vm.exe

C:\Users\Shaun Das Schaf\AppData\Local\Google\Update\1.2.183.7\GoogleCrashHandler.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Lexmark Symbolleiste - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Users\Shaun Das Schaf\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [dj9gs8vm.exe] C:\Windows\system32\dj9gs8vm.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C44BEC81-60C4-46A5-A0BA-320C3776DE99}: NameServer = 213.191.74.11 213.191.92.82

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Google Update Service (gupdate1c98afa9df1b8) (gupdate1c98afa9df1b8) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: lxdnCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxdnserv.exe

O23 - Service: lxdn_device - - C:\Windows\system32\lxdncoms.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe

O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe

O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

 

--

End of file - 6012 bytes

 

Any ideas?

 

Wäre sehr dankbar für hilfe!

[siebenmann07]

Versuche mal das internet auszustöpseln, die Systemüberwachung auszuschalten dann den Virusscan laufen zu lassen. So bin ich viele hartnäckige Trojaner losgeworden.

[Steffen D]

Wo soll ich die systemüberw. ausschalten? Sorry aber ich möchte nix falsch machen.

[Oshkosh]

Moin,

 

Running processes:

C:\Windows\System32\dj9gs8vm.exe

O4 - HKCU\..\Run: [dj9gs8vm.exe] C:\Windows\system32\dj9gs8vm.exe

das sieht verdächtig aus. Weiteres zu Thema hier:

http://blogs.technet.com/markrussinovich/archive/2006/01/03/the-antispyware-conspiracy.aspx

 

Gruß, Markus

[Steffen D]

@ oskosh

 

 

Danke, das ist es, hab im Taskmanager es beendet und es istr weg, aber wie kann ich es für immer löschen? In C:\Windows\System32\ findet es kein dj9gs8vm.exe

[siebenmann07]

versuch mal unter diesen links:

 

http://www.uhus.cc/?tag=trojaner-viren-maleware

 

http://www.hijackthis-forum.de/tipps-tricks/2912-anleitung-zur-bereinigung-von-malware.html

[Jakob Maurer]

...oder mit ComboFix: http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Die Einleitung tönt dramatischer als es ist. Das Programm laufen lassen und hoffen, dass es das Virus entfernt, ist das Eine (bei mir hat es auf Anhieb geklapp [allerdings bei einem anderen Problem]), aufgrund der Log-Datei im Bedarfsfall weiter einzugreifen, das andere.

 

Viel Glück! Jakob

[Oshkosh]

Moin,

 

Danke, das ist es, hab im Taskmanager es beendet und es istr weg, aber wie kann ich es für immer löschen? In C:\Windows\System32\ findet es kein dj9gs8vm.exe

das Programm wird über einen Schlüssel in der Registry gestartet:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [dj9gs8vm.exe]

 

Mit dem Registry Editor (Regedit.exe) kannst du diesen Schlüssel suchen und löschen - sofern du dir sicher bist, das es sich um deinen "Scareware-Virenscanner" handelt. Die Datei ist definitiv vorhanden, vielleicht ist sie versteckt.

 

Effektiver wäre die Sicherung deiner Daten nachdem du den Schlüssel entfernt hast und einer Neuinstallation deines Rechners. Einem mit Schadsoftware infizierten Rechner kann man nicht mehr vertrauen, wer weiß, was die Software noch veranstaltet, bzw. ob noch Teile davon auf dem Rechner lauern. Einige dieser Programme laden selbstständig neue Bestandteile aus dem Internet herunter...

 

Gruß, Markus