Trojaner-Board - Paladin Antivirus entfernen

Trojaner-Board (https://www.trojaner-board.de/)

- Anleitungen, FAQs & Links (https://www.trojaner-board.de/anleitungen-faqs-links/)

- - Paladin Antivirus entfernen (https://www.trojaner-board.de/82795-paladin-antivirus-entfernen.html)

Paladin Antivirus entfernen

Paladin Antivirus entfernen

Was ist Paladin Antivirus?
Paladin Antivirus ist eine weitere gefälschte Scan-Software, die mittels eines trojanischen Pferdes in den PC eindringt und weissmacht, den PC nach Malware abzusuchen. Diese Software ist ein Fake und selbst eine Schadsoftware und sollte nicht gekauft werden.

Verbreitet wird Paladin Antivirus nicht mehr ausschliesslich über 'dubiose Seiten' für Cracks, KeyGens und Warez, sondern auch seriöse Seiten werden zunehmend für die Verbreitung dieser mißbraucht (http://www.trojaner-board.de/90880-d...tallation.html).

http://www.trojaner-board.de/attachm...ntfernen-1.jpg http://www.trojaner-board.de/attachm...ntfernen-2.jpg http://www.trojaner-board.de/attachm...ntfernen-3.jpg

Symptome von Paladin Antivirus:

Versucht vorhandene Virenscanner wie z.B.:

F-Secure
Malwarebytes' Anti-Malware
NOD32
Agnitum Outpost Security Suite
Avira AntiVir
avast!
AntiVir
AVG8
Norton Internet Security

zu entfernen

Ständige Warnmeldungen:

Network Intrusion Detected!

Your computer is being attacked from a remote PC.Process is trying to steal your passwords listed below. It is highly recommended to block this threat now.

You are using a trial version.
It is recommended to purchase a commercial version.

Adware module detected on your PC!

Zlob.Porn.Ad adware has been detected. This adware module advertises websites with explicit content. Be advised of such content being possibly illegal. Please click the button below to locate and remove this threat now.

http://www.trojaner-board.de/attachm...ntfernen-4.jpg http://www.trojaner-board.de/attachm...ntfernen-5.jpg http://www.trojaner-board.de/attachm...ntfernen-6.jpg http://www.trojaner-board.de/attachm...ntfernen-8.jpg http://www.trojaner-board.de/attachm...ntfernen-7.jpg

Dateien von Paladin Antivirus:

Code:

%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Paladin Antivirus.lnk

%UserProfile%\Desktop\Paladin Antivirus Support.lnk

%UserProfile%\Desktop\Paladin Antivirus.lnk

%UserProfile%\Start Menu\Programs\Paladin Antivirus

%UserProfile%\Start Menu\Programs\Paladin Antivirus\Paladin Antivirus Support.lnk

%UserProfile%\Start Menu\Programs\Paladin Antivirus\Paladin Antivirus.lnk

%UserProfile%\Start Menu\Programs\Paladin Antivirus\Uninstall Paladin Antivirus.lnk

c:\Program Files\Paladin Antivirus

c:\Program Files\Paladin Antivirus\help.ico

c:\Program Files\Paladin Antivirus\pav.db

c:\Program Files\Paladin Antivirus\pav.exe

c:\Program Files\Paladin Antivirus\pavext.dll

c:\Program Files\Paladin Antivirus\phook.dll

c:\Program Files\Paladin Antivirus\uninstall.exe

Registry-Einträge von Paladin Antivirus:

Code:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Paladin Antivirus

HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus

Paladin Antivirus im HijackThis-Log:

Code:

O4 - HKCU\..\Run: [Paladin Antivirus] "C:\Program Files\Paladin Antivirus\pav.exe" -noscan

NACHTRAG:

Seit neuestem tritt Paladin Antivirus mit einem Rootkit auf

Code:

File C:\WINDOWS\system32\drivers\_VOIDiylidmecrd.sys 40448 bytes executable <-- ROOTKIT !!! 

File C:\WINDOWS\system32\_VOIDbuwbxittqf.dll 40960 bytes executable 

File C:\WINDOWS\system32\_VOIDpalkixnssw.dll 26624 bytes executable 

File C:\WINDOWS\system32\_VOIDshsyst.dll 524 bytes 

File C:\WINDOWS\system32\_VOIDuxvnxvivcf.dat 47 bytes 

File C:\WINDOWS\system32\_VOIDvmqsxyrdba.dll 19456 bytes executable 

File C:\WINDOWS\system32\_VOIDwqisqweaxj.dll 40960 bytes executable

File C:\WINDOWS\Temp\_VOIDdb93.tmp 48 bytes

Danke an Argus.

Paladin Antivirus entfernen

Paladin Antivirus entfernen

Tool: rkill.com Download Link herunterladen und mit doppelklick ausführen.

http://www.trojaner-board.de/attachm...aning-tool.png

Das Tool stoppt alle Prozesse von Paladin Antivirus.

Bei Bedarf mehrmals ausführen, bis alle ungewünschten Prozesse beendet wurden.

Starte einen vollständigen Scan mit Malwarebytes Anti-Malware

Achtung: Diese Fake Software wird versuchen, den Einsatz von Malwarebytes zu verhindern. Benenne das Setup vor dem speichern in etwas anderes um (z.B. Herbert.exe).

Falls es vorher nicht funktioniert hat, sollte das Setup jetzt starten.

Wenn das Programm nach der Installation nicht starten sollte, dann benenne die "mbam.exe" in "herbert.exe" um und versuche es erneut.

Sollte MBAM trotzdem nicht starten: http://www.trojaner-board.de/82699-m...tet-nicht.html

http://www.trojaner-board.de/attachm...ntfernen-2.png

http://www.trojaner-board.de/attachm...1&d=1266017523

Code:

Memory Processes Infected: 1 Memory Modules Infected: 1 Registry Keys Infected: 2 Registry Values Infected: 1 Registry Data Items Infected: 0 Folders Infected: 2 Files Infected: 14 Memory Processes Infected: C:\Program Files\Paladin Antivirus\pav.exe (Rogue.PaladinAntivirus) -> Unloaded process successfully. Memory Modules Infected: C:\Program Files\Paladin Antivirus\phook.dll (Rogue.PaladinAntivirus) -> Delete on reboot. Registry Keys Infected: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\paladin antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\paladin antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: C:\Program Files\Paladin Antivirus (Rogue.PaladinAntivirus) -> Delete on reboot. C:\Documents and Settings\{username}\Start Menu\Programs\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. Files Infected: C:\Program Files\Paladin Antivirus\help.ico (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Program Files\Paladin Antivirus\pav.db (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Program Files\Paladin Antivirus\pav.exe (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Program Files\Paladin Antivirus\pavext.dll (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Program Files\Paladin Antivirus\phook.dll (Rogue.PaladinAntivirus) -> Delete on reboot. C:\Program Files\Paladin Antivirus\splash.mp3 (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Program Files\Paladin Antivirus\uninstall.exe (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Program Files\Paladin Antivirus\virus.mp3 (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Documents and Settings\{username}\Start Menu\Programs\Paladin Antivirus\Paladin Antivirus Support.lnk (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Documents and Settings\{username}\Start Menu\Programs\Paladin Antivirus\Paladin Antivirus.lnk (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Documents and Settings\{username}\Start Menu\Programs\Paladin Antivirus\Uninstall Paladin Antivirus.lnk (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Documents and Settings\{username}\Desktop\Paladin Antivirus.lnk (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Documents and Settings\{username}\Desktop\Paladin Antivirus Support.lnk (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully. C:\Documents and Settings\{username}\Application Data\Microsoft\Internet Explorer\Quick Launch\Paladin Antivirus.lnk (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.

NACHTRAG:

Seit neuestem tritt Paladin Antivirus mit einem Rootkit auf

Code:

Registry Keys Infected:

HKEY_CURRENT_USER\Software\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\_VOID (Rootkit.TDSS) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Paladin Antivirus (Rogue.PaladinAntivirus) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

C:\ProgramData\mswintmp.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\ProgramData\_VOIDkrl32mainweq.dll (Rootkit.TDSS) -> Delete on reboot.

C:\ProgramData\_VOIDmainqt.dll (Rootkit.TDSS) -> Delete on reboot.

Bis auf C:\Windows\System32\_VOIDjppomprlnl.dll
wird von Kaspersky als Trojan.Win32.Tdss.awfn 1 erkannt

Danke an Argus!

Paladin Antivirus entfernen

Paladin Antivirus immer noch nicht entfernt?

OTH - OTHelper - Kill All Processes

Mit aktualisiertem (!!) Malwarebytes Anti-Malware nach Ausführen von OTH nochmal QUICKSCAN ausführen.

Bitte alle temporären Dateien löschen und Speicherplatz freigeben.

Weitergehende Prüfung

Das System könnte noch nicht vollständig sauber sein.

Daher unbedingt ein Thema erstellen: Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Nicht vergessen mit FRST-Logfiles wie in der Anleitung beschrieben.

Wie man Hilfe bekommt steht auch hier.