FAQ

Die Gumblar-Infektion wird über PDF- und Flashdateien (.pdf und .swf) verbreitet, welche in den meisten Fällen von infizierten FTP-Servern heruntergeladen werden, auf denen Kopien der genannten Dateien erstellt werden.

Computer von Benutzern mit noch nicht gepatchten Sicherheitslücken in den Anwendungen Adobe Acrobat Reader und Adobe Flash Player werden unter Umständen durch Exploits in den .pdf- und .swf-Dateien infiziert. Die Sicherheit der FTP-Server wird durch die Suche nach gespeicherten Verbindungen zu FTP-Servern gefährdet, weshalb wir das Ändern von Kennwörtern nach dem Entfernen der Infektion empfehlen.

Die als „Gumblar“ bezeichnete Infektion wird von AVG unter folgenden Benennungen erkannt: Trojaner Agent2.HYG, Defiler und den Varianten des Trojaners Exploit oder Exploit.PDF.

Hinweis: Nach dem Besuch von infizierten Webseiten können sich JS/Psyme oder JS/Downloader im Ordner „Temporäre Internetdateien“ befinden. Eine direkte Heilung dieser Infektion ist nicht möglich, da sie Teil der Webseite ist.

Diese Infektion lässt sich am einfachsten durch Löschen der temporären Dateien des Internet Explorers entfernen. Führen Sie dazu folgende Schritte aus:

• Starten Sie den Internet Explorer.
• Klicken Sie auf das Menü „Extras“.
• Wählen Sie „Internetoptionen...“.
• Klicken Sie auf die Schaltfläche „Dateien löschen...“.
• Aktivieren Sie die Option „Alle Offline-Inhalte löschen“.
• Bestätigen Sie anschließend mit „OK“.
• Führen Sie den Kompletttest erneut durch, um sicherzugehen, dass die Infektion beseitigt wurde und daher von AVG nicht mehr erkannt wird.

Je nach Version des Internet Explorers können Anordnung und Namen der Optionen geringfügig abweichen.

Hinweis: Wenn Sie die infizierte Webseite wiederholt besuchen, erkennt AVG die Infektion erneut.

Wird bei einem AVG-Test ein Virus gefunden und der Status lautet „Infiziertes, eingebettetes Objekt“, so bedeutet dies, dass die Virendatei zu einer Archivdatei (ZIP, RAR, CAB…) oder zu einem selbstextrahierenden Archiv gehört (EXE). Natürlich erkennt AVG diese Datei, ist jedoch aufgrund der Datensicherheit nicht in der Lage, die infizierte Datei automatisch zu entfernen oder in die Virenquarantäne zu verschieben und die Archivdatei dann erneut zu komprimieren.

Das Entfernen dieser Viren muss manuell durch den Benutzer erfolgen.

Bitte befolgen Sie diese Schritte, um diese Art von Virendatei zu entfernen:

1. Verschieben Sie sie in die Virenquarantäne, wenn das Archiv nicht größer als 5 MB ist.

Wählen Sie „Testergebnisse“ (führen Sie AVG aus -> wählen Sie das Menü „Historie“ -> klicken Sie auf den Eintrag „Testergebnisse“), markieren Sie in den Testergebnissen die Zeile mit der Infektion (klicken Sie auf die Zeile mit dem roten Ausrufezeichen) -> und klicken Sie auf die Schaltfläche „In Quarantäne verschieben“.

2. Löschen Sie das Archiv – wenn es größer als 5 MB ist, kann es nicht in die Virenquarantäne verschoben werden.

Bitte achten Sie darauf, dass dieses Archiv keine wichtigen Daten enthält!

Wählen Sie „Testergebnisse“ (führen Sie AVG aus -> wählen Sie das Menü „Historie“ -> klicken Sie auf den Eintrag „Testergebnisse“), markieren Sie in den Testergebnissen die Zeile mit der Infektion (klicken Sie auf die Zeile mit dem grauen Ausrufezeichen) -> klicken Sie auf die Schaltfläche „Gehe zu Datei“. Sie werden automatisch zur Archivdatei weitergeleitet und können diese löschen, indem Sie mit der rechten Maustaste auf den Dateinamen klicken und die Option „Löschen“ aus dem Menü auswählen.

Beachten Sie

Wenn Sie die Archivdatei gelöscht haben, müssen Sie auch den Papierkorb leeren, in den die gelöschte Archivdatei verschoben wurde:

• Doppelklicken Sie auf das Symbol für den Papierkorb auf dem Desktop Ihres Computers
• Wählen Sie im Menü „Datei“ die Option „Papierkorb leeren“ aus

Windows NT/2000/XP/2003/XP Pro x64/2003 Server x64:

In diesem Fall empfehlen wir, die AVG Rescue CD zu verwenden (weitere Informationen zu diesem Produkt finden Sie hier). Bei der AVG Rescue CD handelt es sich um eine portable Version von AVG, die auf Windows PE basiert. Sie wird als bootfähige CD bereitgestellt und ist zur Wiederherstellung des Betriebssystems vorgesehen, wenn das System nicht mehr auf normale Weise geladen werden kann – beispielsweise aufgrund einer schwerwiegenden Vireninfektion. Zunächst lädt die AVG Rescue CD das temporäre Betriebssystem Windows PE und führt anschließend AVG aus, das dann auf gewohnte Weise für die Erkennung und Entfernung von Viren und Spyware genutzt werden kann.

Weitere Informationen zur Erstellung einer AVG Rettungs-CD finden Sie unter FAQ 491.

• Suchen Sie auf der Webseite Virenenzyklopädie nach dem exakten Namen des Virus aus dem Testergebnis.
• Wenn Sie das Virus nicht finden, wenden Sie sich bitte an den technischen Support, und hängen Sie einen Export des letzten Testergebnisses an:
  

Führen Sie das AVG-Programm aus (Basisoberfläche oder Advanced Oberfläche), und wählen Sie im Menü „Historie“ die Option „Testergebnisse“ aus. Eine Liste der abgeschlossenen Tests wird angezeigt. Doppelklicken Sie auf den letzten Test (nach Datum), um die vollständige Liste der erkannten Viren (falls vorhanden), einschließlich Pfad, Name und Status des infizierten Objekts, anzuzeigen. Klicken Sie, sobald die Liste geöffnet ist, auf die Option „Übersicht in Datei exportieren...“ Senden Sie uns diese Datei zur weiteren Analyse zu.

VCLEANER.EXE kann verwendet werden, um spezielle Viren und ihre Varianten zu entfernen. Auf der unten stehenden Webseite finden Sie weitere Informationen.

Mit:

Laden Sie die Datei vcleaner.exe herunter, und führen Sie sie auf dem infizierten Computer aus.

Hinweis: Manche Viren halten den Vorgang während des Entfernens an. Geben Sie in diesem Fall der Datei „vcleaner.exe“ einen anderen Namen (z. B. irgendetwas.exe). Starten Sie den Computer im abgesicherten Modus neu (empfohlen), und führen Sie das Tool auf dem infizierten Computer aus.

Auch die anderen Tools zum Entfernen stehen auf der erwähnten Webseite zur Verfügung.

Versuchen Sie, Ihr AVG-System zu aktualisieren, und führen Sie einen erneuten Scan des gesamten Computers durch. Falls die Datei nicht erkannt wird und Sie noch immer nicht sicher sind, verschieben Sie die Datei in ein kennwortgeschütztes Archiv (mit WinZip, WinRar, PowerArchiver usw.), und senden Sie dieses Archiv an unsere eMail-Adresse virus@avg.com. Beschreiben Sie, warum Sie die Datei schicken, und geben Sie in der eMail das Kennwort für das Archiv an. Schicken Sie die eMail ab.

Falls AVG auf Ihrem Computer infizierte Dateien entdeckt, werden diese in die AVG Virenquarantäne verschoben. Wenn Sie jedoch sicher sind, dass die Dateien 'sauber' sind, kann es sich bei der erkannten Datei um einen Fehlalarm handeln.
Sollte dies der Fall sein, werden wir diese Fehlfunktion so schnell wie möglich beheben.
Leider treten Fehlalarme in jeder Virenschutz-Software von Zeit zu Zeit auf.

Um dieses Problem zu lösen, schicken Sie uns diese Datei zur Analyse direkt über das AVG-Programm. Gehen Sie dazu folgendermaßen vor:

• Öffnen Sie die Benutzeroberfläche von AVG.
• Wählen Sie die Option Virenquarantäne aus dem Menü Historie aus.
• Klicken Sie mit der rechten Maustaste auf die falsch positive Datei, und wählen Sie im Kontextmenü die Option „Zur Analyse senden“ aus.
• Geben Sie Ihre eMail-Adresse ein
• Bestätigen Sie den Dialog

Auf diese Weise wird die Datei zur Analyse an unsere Virenexperten gesendet. Wir informieren Sie anschließend über das Ergebnis.

In dieser FAQ wird die Rootkit-Infektion mit TDSSserv.sys/MSQPD*.sys beschrieben, die üblicherweise mit einer Infektion von Antivirus 2009 verbunden ist.
Zu den Symptomen einer solchen Infektion gehören:

• Falsche Popup-Infektionswarnungen, die für eine erfundene Antivirenanwendung werben, mit der die Infektion angeblich entfernt werden kann (z. B. Antivirus 2009, Antivirus XP).
• Der Desktop-Hintergrund wird in eine Warnmeldung verändert; dieser Vorgang kann nicht rückgängig gemacht werden.
• Der Zugriff auf den Task-Manager und den Registry-Editor ist deaktiviert.
• Webseiten werden im Internetbrowser an falsche Adressen weitergeleitet.
• Windows kann nicht aktualisiert werden (auf die Seite www.windowsupdate.com kann nicht zugegriffen werden).
• AVG kann nicht aktualisiert werden.
• AVG erkennt Infektionen mithilfe eines Anti-Rootkit-Scans als versteckte Treiber oder Dateien in Systemordnern. Die Namen der erkannten Dateien beginnen mit 'TDSS'/'MSQPD', z. B. TDSSserv.sys, tdsslog.dll, TDSSl.dll, msqpdxserv.sys.

Wenn Sie annehmen, dass Ihr Computer auf die oben beschriebene Weise infiziert ist, können Sie diese Infektion folgendermaßen entfernen:

• Laden Sie das Utility AVGRTK_remover herunter.
• Extrahieren Sie das heruntergeladene Archiv in einen neuen Ordner.
• Suchen Sie im Ordner die Datei „AVGRTK_remover.vbs“.
• Doppelklicken Sie auf die Datei, um sie auszuführen.
• Eine Bestätigung wird angezeigt.
• Starten Sie den Computer neu.
• Aktualisieren Sie Ihr AVG.
• Führen Sie einen vollständigen AVG-Scan durch und entfernen Sie alle erkannten Infektionen.

Dieses Utility entfernt auch die Nebeneffekte der Infektion, wie die Deaktivierung des Zugriffs auf Systemfunktionen. Wenn Sie einige Funktionen weiterhin nicht verwenden können, starten Sie das Utility noch einmal, wie oben beschrieben.

Die Infektion ist jetzt vollständig entfernt. Sollte das Problem weiterhin bestehen, wenden Sie sich bitte an den Kundendienst.

Möglicherweise ist Ihr Computer mit der gefälschten Anti-Spyware-Anwendung Antivirus 360 infiziert. Diese Anwendung agiert wie eine normale Antivirenanwendung, ist in Wirklichkeit aber kein legitimes Produkt einer Virenschutzfirma. Die Anwendung simuliert unechte Bedrohungen auf Ihrem Computer, und überlistet Sie, eine Vollversion zu kaufen. Sie werden die Vollversion lediglich bezahlen, ohne von nützlichen Anti-Spyware-Diensten profitieren zu können. Es gibt viele andere Symptome für diese Infektion:

• Verlangsamung des Computers
• Fehlalarme bei wichtigen Systemdateien
• Öffnen unerwünschter Popupfenster
• Herunterladen weiterer Viren und Trojaner auf Ihren Computer

Wir weisen Sie darauf hin, dass AVG die meisten Varianten der beschriebenen Anwendung erkennt und erfolgreich entfernt. Es kommen jedoch täglich neue Varianten hinzu; daher werden einige dieser Varianten möglicherweise nicht von AVG erkannt und entfernt. Wenn Sie Probleme mit der beschriebenen, gefälschten Anwendung Antivirus 360 haben, und wenn die Anwendung mithilfe von AVG nicht entfernt werden kann, bitten wir Sie, wie folgt vorzugehen, um uns die erforderlichen Informationen zum Problem mitzuteilen, und die fehlende Variante in die AVG-Erkennung aufzunehmen:

• Utility-Ausgabe startet automatisch
  • Laden Sie das Utility AVG Proci herunter, indem Sie auf folgenden Link klicken (es wird empfohlen, die Datei auf dem Desktop zu speichern):
    avgproci_de.exe
  • Führen Sie die heruntergeladene Datei aus, und folgen Sie den Anweisungen auf dem Bildschirm, um ein Diagnoseergebnis zu erzielen.
• Kontakt zum technischen Support von AVG aufnehmen
  • Führen Sie die Datei runner.avgdx aus, die sich in dem Ordner befindet, in dem das Utility AVG Proci installiert wurde.
  • Geben Sie Ihre gültige eMail-Adresse in das dafür vorgesehene Feld des AVG Diagnose-Tools ein.
  • Geben Sie als Beschreibung „Nicht erkanntes Antivirus 360“ oder eine ähnliche Beschreibung ein.
  • Klicken Sie anschließend auf die Schaltfläche Datei anhängen, und fügen Sie das zuvor erstellte Diagnoseergebnis von AVG Proci (Datei result.7z) als Anhang an.
  • Klicken Sie auf die Schaltfläche Diagnose und Ergebnisse senden, und alle erforderlichen Informationen werden an den technischen Support von AVG gesendet.

Falls das AVG-Programm einen Virus in einer wichtigen Systemdatei entdeckt, wird diese Datei nicht automatisch gelöscht. Diese Funktion wurde hinzugefügt, um das unbeabsichtigte Entfernen infizierter Systemdateien zu verhindern, die für den ordnungsgemäßen Betrieb des Betriebssystems benötigt werden.

Im Folgenden finden Sie Beispiele wichtiger Systemdateien:

• „%WINDOWS%\system32\winlogon.exe“
• „%WINDOWS%\system32\user32.dll“
• „%WINDOWS%\explorer.exe“

Hinweis: Die Variable „%Windows%“ steht gewöhnlich für den Ordner „C:\Windows“.

Wenn in einer Systemdatei ein Fehler entdeckt wird, stellen Sie die infizierte Datei über das System-Backup wieder her. Weitere Informationen zur Wiederherstellung des Betriebssystems auf einen früheren Stand finden Sie in der Microsoft-Wissensdatenbank unter: 

• Windows XP
  http://support.microsoft.com/kb/306084 
• Windows Vista
  http://windowshelp.microsoft.com/Windows/en-US/help/517d3b8e-3379-46c1-b479-05b30d6fb3f01033.mspx

Wenn die Infektion weiterhin auftritt, setzen Sie sich über die Option Onlinehilfe im Menü AVG Hilfe mit dem technischen Support von AVG in Verbindung. Weitere Informationen zur Kontaktaufnahme mit dem Kundendienst von AVG finden Sie unter FAQ 1467 – So kontaktieren Sie den Kundendienst.