Fake Virus

Kann mir jemand helfen/ hat jemand das selbe Problem?!

Ich habe einen Virus, der zum Kauf einer Nutzlosen Antivirussoftware auffordert und so tut, als ob er Windows wäre…

-Er verändert die Uhrzeit: z.B. 18.55: VIRUS ALERT!
-Er öffnet andauernd die Meldung: (Titel: Spyware Alert) Text: Securety Warning: Worm.W32.NetBooster…
-Er verändert den Desktop Hintergrund zu einer im Vista-Style Warnung
-Er öffnet den InternetExplorer mit dem Link: http://www.safewebnavigate—2008.com/index.php?sid=…
-Er öffnet andere Fenster…
-Er sperrt den Regestry Editor, den Taskmanager

Protokoll von HijakThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:02: VIRUS ALERT!, on 04.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Saitek\Saitek Gaming Extensions\saicnfig.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\IVT Corporation\BlueSoleil\BtTray.exe
C:\WINDOWS\system32\lphct4kj0erbe.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\IVT Corporation\BlueSoleil\BsHelpCS.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Symantec\LiveUpdate\NDETECT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.ch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://janas.tiscali.ch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=M…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://janas.tiscali.ch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tiscalinet.ch:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: peltodgx - {0FA15166-39DA-4DAB-9B1A-0DDDBACA8BD5} - C:\WINDOWS\peltodgx.dll
O3 - Toolbar: dkwqgnbe - {DC51F59F-D0BA-4CE7-8CDB-15ABF290546E} - C:\WINDOWS\dkwqgnbe.dll
O3 - Toolbar: (no name) - {7c5c0f58-e061-457d-9033-77307f5ed00c} - (no file)
O4 - HKLM…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM…\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM…\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM…\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM…\Run: [Wbutton] „C:\Programme\Launch Manager\Wbutton.exe“
O4 - HKLM…\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM…\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM…\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM…\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM…\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\Saitek Gaming Extensions\saicnfig.exe /autorun
O4 - HKLM…\Run: [ccApp] „C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe“
O4 - HKLM…\Run: [Symantec NetDriver Monitor] C:\PROGRA~2\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM…\Run: [OpwareSE2] „C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe“
O4 - HKLM…\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM…\Run: [IntelliPoint] „C:\Programme\Microsoft IntelliPoint\ipoint.exe“
O4 - HKLM…\Run: [QuickTime Task] „C:\Programme\QuickTime\QTTask.exe“ -atboottime
O4 - HKLM…\Run: [TkBellExe] „C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe“ -osboot
O4 - HKLM…\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM…\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM…\Run: [iTunesHelper] „C:\Programme\iTunes\iTunesHelper.exe“
O4 - HKLM…\Run: [BtTray] „C:\Programme\IVT Corporation\BlueSoleil\BtTray.exe“
O4 - HKLM…\Run: [lphct4kj0erbe] C:\WINDOWS\system32\lphct4kj0erbe.exe
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [MSMSGS] „C:\Programme\Messenger\msmsgs.exe“ /background
O4 - HKCU…\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚NETZWERKDIENST‘)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚SYSTEM‘)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚Default user‘)
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Speedport W 100 Stick WLAN Manager.lnk = C:\Programme\DT\Speedport W 100 Stick\Wifiusb.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Download by YouTube Robot - res://C:\Programme\YouTubeRobot\RobotExt.ocx/LINK.HTM
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01df10192b9272804214/net…
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - http://install.game-bereich.de/InstallationsAssisten…
O20 - AppInit_DLLs: juurnr.dll
O21 - SSODL: onfwbsak - {C92E9719-E868-47D0-84EC-6AD6F575E87C} - C:\WINDOWS\onfwbsak.dll
O21 - SSODL: rwlfsdmk - {57A64FE6-24CE-4715-A812-61B3A4773D5A} - C:\WINDOWS\rwlfsdmk.dll
O21 - SSODL: neksolda - {69B16C39-86B1-4AA5-BD11-227A2DC36CB7} - C:\WINDOWS\neksolda.dll
O21 - SSODL: xgpsarbm - {6C1AFF0D-C8F5-4FBB-B8AA-34DF011FA87A} - C:\WINDOWS\xgpsarbm.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BlueSoleilCS - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BsHelpCS - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BsHelpCS.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: JFWService - Freedom Scientific BLV Group, LLC. - c:\jaws402\jfw.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~2\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O24 - Desktop Component 1: (no name) - file:///C:/Dokumente%20und%20Einstellungen/Uwe%20Schr%F6er/Eigene%20Dateien/Eigene%20Webs/jeldriks-film-co.de/_themes/zero/zertxtr.gif

–
End of file - 12551 bytes

Fake Virus Ergänzungen
Mir sind gerade noch ein Paar mehr Sachen aufgefallen, die der „Virus“ macht:

-Er sorgt dafür, dass die Festplatten, Speichersticks und andere Laufwerke nicht angezeigt werden
-Mann kann die Festplatte unter Linux nicht aufrufen, es kommt die Fehlermeldung: org.freedesktop.Hal.Device.Volume.UnknownFailure $Logfile indicates unclean shutdown (0,0)…
-Er sorgt dafür, dass andere Links geöffnet werden, als angecklickt werden

Kann mir bitte jemand helfen!!!
___________
DANKE!!!

-Mann kann die Festplatte unter Linux nicht aufrufen, es kommt
die Fehlermeldung:
org.freedesktop.Hal.Device.Volume.UnknownFailure $Logfile
indicates unclean shutdown (0,0)…

Das wird schon gehen, du musst die Platte halt im Zweifel read only mounten. Dann die Daten sichern und anschließend XP neu installieren. Und dir Gedanken machen, wie so ein Schadprogramm deinen Rechner übernehmen konnte (Internet Explorer!) und wie du solche Vorfälle zukünftig vermeidest.

Gruß

Hi

Mir sind gerade noch ein Paar mehr Sachen aufgefallen, die der
„Virus“ macht:

-Er sorgt dafür, dass die Festplatten, Speichersticks und
andere Laufwerke nicht angezeigt werden
-Mann kann die Festplatte unter Linux nicht aufrufen, es kommt
die Fehlermeldung:
org.freedesktop.Hal.Device.Volume.UnknownFailure $Logfile
indicates unclean shutdown (0,0)…
-Er sorgt dafür, dass andere Links geöffnet werden, als
angecklickt werden

Kann mir bitte jemand helfen!!!

ja, Platte glattbügeln, Windows neu installieren
das ist ein Trojaner, und den wirst du mit normalen Bordmitteln nicht mehr los

Gruss
ExNicki

-Mann kann die Festplatte unter Linux nicht aufrufen, es kommt
die Fehlermeldung:
org.freedesktop.Hal.Device.Volume.UnknownFailure $Logfile
indicates unclean shutdown (0,0)…

Das wird schon gehen, du musst die Platte halt im Zweifel read
only mounten.

Glaube das nützt hier nix.
Du kannst ein Mounten der Partition mit dem „force“-Parameter erzwingen also etwa so:

sudo mount -t ntfs-3g /dev/hda1 /mnt -o force

Hier ist natürlich /dev/hda1 durch das entsprechende Device der NTFS-Partition und /mnt durch den gewünschten Mount-Point noch zu ersetzen.

sudo mount -t ntfs-3g /dev/hda1 /mnt -o force

Ich denke nichts, dass dem read only irgendwas entgegensteht. Aber warum sollte man hier ntfs-3g verwenden wollen?

sudo mount -t ntfs /dev/hda1 /mnt

Gruß

sudo mount -t ntfs-3g /dev/hda1 /mnt -o force

Ich denke nichts, dass dem read only irgendwas entgegensteht.

Ich habe es wie gesagt nicht extra geprüft, ich kann mich aber glaub ich noch dunkel daran erinnern, dass dies bei mir nicht funktioniert hat, als ich mal eine nicht richtig ungemountete NTFS-Partition mounten wollte. Ich musste extra das -o force dran hängen, damit er das Ding mountet. Das kann natürlich beim alten ntfs-Treiber aus den ntfsprogs anders sein. Aber…

Aber warum sollte man hier ntfs-3g verwenden wollen?

sudo mount -t ntfs /dev/hda1 /mnt

…in den meisten aktuellen Distributionen verwendest du immer ntfs-3g, da ‚ntfs‘ dort nur noch ein Alias ist:

$\> ls -l /sbin/mount.ntfs
lrwxrwxrwx 1 root root 12 2008-10-17 17:15 /sbin/mount.ntfs -\> /bin/ntfs-3g

Von daher ist es dort wurscht, ob du -t ntfs-3g oder -t ntfs schreibst.

Und dir Gedanken machen, wie so ein
Schadprogramm deinen Rechner übernehmen konnte (Internet
Explorer!) und wie du solche Vorfälle zukünftig vermeidest.

Das Problem ist ja, dass der „Trojaner“ garkeiner ist.
Er zeigt nicht das Verhalten von Vieren oder Trojanern.
Er sendet nichts raus, enthält keine Schadcodes, die eine Aktuelle AntivirusSoftware erkennt.
Man könnte sagen er ändert ein wenig das Design von Windows^^

Gruß JDTF

Und dir Gedanken machen, wie so ein
Schadprogramm deinen Rechner übernehmen konnte (Internet
Explorer!) und wie du solche Vorfälle zukünftig vermeidest.

Das Problem ist ja, dass der „Trojaner“ garkeiner ist.
Er zeigt nicht das Verhalten von Vieren oder Trojanern.

er verändert dein Windows, blockiert Programmzugänge, ist also ganz schön aktiv. Was erwartest du noch? Dass Rauch aus dem Gehäuse aufsteigt? ^^

Er sendet nichts raus, enthält keine Schadcodes, die eine
Aktuelle AntivirusSoftware erkennt.

ja. aber liegt das daran, dass keine Schadcodes vorhanden sind oder dass Virenscanner keine aufspüren können?
dein System ist korrumpiert. Also musst du es platt machen.

Gruss
ExNicki

Hallo

Das Problem ist ja, dass der „Trojaner“ garkeiner ist.

Das Problem ist, dass Du sehr wahrscheinlich mit dieser Einschätzung gehörig auf dem Holzweg bist.

Er zeigt nicht das Verhalten von Vieren oder Trojanern.

Wie gut kennst Du Dich damit aus, was das Verhalten von Viren (bitte nicht mit Vieren, Fünfen etc. verwechseln…) etc. angeht?

Er sendet nichts raus, enthält keine Schadcodes, die eine
Aktuelle AntivirusSoftware erkennt.

Woher willst Du wissen, dass das Ding nichts raussendet? Woher willst Du wissen, dass das Ding keinen Schadcode enthält? Bzw. was ist für Dich ein Schadcode?

Ob eine Antivirensoftware einen Schädling erkennt oder nicht, ist jedenfalls kein Kriterium.

Man könnte sagen er ändert ein wenig das Design von Windows^^

Man könnte sagen, er macht Sachen, die den Schädlingen aus der Zlob-Familie ähneln. Aber selbst wenn das Ding selber nicht unbedingt ein richtiger Schädling ist, so würdest Du Dir mit dem Download der von ihm ‚empfohlenen‘ Software mit Sicherheit einen Schädling einhandeln. Ergo ist es in jedem Fall ratsam, das Ding so schnell und nachhaltig wie möglich zu entfernen. Und das klappt mit einer Neuinstallation des Systems am zuverlässigsten.

CU
Peter