15.04.2010 Benedict Poppe ICQ Virus Removable Guide Windows XP & Windows Vista & Windows 7 Ihr habt eine Nachricht in diesem Format erhalten? schau mal das foto an :D http://w##ww.after7.de/party/_images/images.php?img=img0204078202010.jpg (Link leicht bearbeitet siehe ##) Auch noch drauf geklickt? -> Trojaner eingefangen? Dann hilft dieses Tutorial bestimmt weiter J Zu aller erst loggen wir uns aus ICQ aus und schließen auch rechts unten die ICQ Blume per Rechtsklick. 1. Systemwiederherstellungspunkte machen: Falls bei der Löschung etwas schief geht, möchten wir unser System nicht aufwendig retten ;) Deswegen machen wir einen Systemwiederherstellungspunkt. Das Prinzip ist bei XP und Vista gleich. Start -> Programme -> Zubehör -> Systemprogramme -> Systemwiederherstellung. Bei Windows XP kann man gleich wählen Einen Wiederherstellungspunkt erstellen Bei Windows Vista dagegen muss man erst auf Computerschutz (kleingeschrieben) klicken. Außerdem kann es etwas dauern, bis das Systemwiederherstellungsfenster geöffnet wird. 2. Wenn Ihr den Pc abgesichert habt, ladet ihr euch von dieser Seite: http://www.filehippo.com/download_ccleaner den CCleaner herunter. (Rechts oben Latest Version). Wenn ihr in komplett installiert hab, dann startet ihn und stellt ihn am besten so ein:
Klickt auf Starte CCleaner. Nun sind alte und auch virenanfällige Dateien gelöscht worden. Nun könnt ihr links noch auf Registry klicken. Fehler suchen -> Sicherung speichern und beheben lassen. Weiter auf der folgenden Seite
3. Hijackthis herunterladen und Logfiles prüfen. http://www.hijackthis.de/downloads/hjtinstall.exe Datei downloaden, auf Desktop speichern und danach installieren. Nun ausführen und auf Do a System Scan and save a Logfile. Windows Vista Benutzer bitte Rechtsklick und als Administrator ausführen. Nach dem Scan öffnet sich automatisch eine Logfile. Speichert diese auf den Desktop ab. Nun besucht ihr diese Seite: http://hijackthis.de/ Hijackthis, das Programm selber, lasst ihr noch geöffnet. Dort ladet ihr die hijackthis.log vom Desktop hoch, indem ihr auf den Durchsuchen Button klickt und zur genannten Datei navigiert. Jetzt werden euch Ergebnisse angezeigt mit roten X en oder gelben Kreuzen. Wenn hinter den gelben Kreuzen (no file) steht, könnt ihr diesen Eintrag Löschen. Die meisten der ICQ Viren werden von Hijackthis schon als äußerst schädlich gekennzeichnet. Diese Einträge werden für Punkt 6 benötigt. Außerdem sind für diese Art von Virus Einträge wie: C:\Users\Ottmar\AppData\Local\Temp\Z0g.exe C:\Users\user\AppData\Local\Temp\Rxh.exe C:\Windows\Rqedab.exe C:\Users\user\AppData\Local\Temp\7082.exe R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O4 - HKCU\..\Run: [YVIBBBHA8C] C:\Users\user\AppData\Local\Temp\Rxh.exe O4 - HKCU\..\Run: [Canaveral] rundll32.exe C:\Windows\system32\sshnas21.dll,BackupReadW.. Wenn ihr euch nicht sicher seit, was ihr löschen dürft und was nicht, könnt ihr euch an mich wenden. Löschen könnt ihr diese Einträge, wenn ihr im Hijackthis Programm die problematischen Zeilen sucht und vor diese in dem kleinen Kästchen einen Haken setzt. Wenn ihr fertig seit klickt ihr auf fixed checked.
C:\Users\user\AppData\Local\Temp\Rxh.exe Solche Dateien werdet ihr wohl nicht im Hijackthis Programm finden. Diese werden von Avenger (Punkt 6) normalerweise gelöscht. 4. Malewarebytes Anti Maleware Download: http://fileforum.betanews.com/detail/malwarebytes- AntiMalware/1186760019/1 Installieren und sofort ein Update einspielen. Wenn das Programm auf dem neuesten Stand ist, führt ihr einen Quick Scan durch. Wenn dieser abgeschlossen ist geht ihr auf Ergebnisse anzeigen und lässt die gefunden Schädlinge löschen. Bei manchen Einträgen wird stehen: Delet after Reboot. Das heißt es wird erst nach dem Neustart gelöscht. Schließt Malewarebytes Anti Maleware. 5. System Volume Ordner Scannen. Damit die gelöschten Systemdateien nicht wieder neu nach dem Reboot aufgespielt werden, müsst ihr den Wiederherstellungsordner scannen. Anleitung XP: http://ttsclan.tt.funpic.de/viren/systemvolume.pdf Bei Vista fällt dieser Punkt weg. 6. Neustart und Autostarteintrag dlll.exe löschen: Windows Vista: http://www.windowssecrets.de/troubleshooting/artikel/d/autostart-eintraege-unter-vista-in-derregistry-kontrollieren.html Windows XP: Programme aus dem Autostart entfernen Unter Windows XP gibt es wieder die Möglichkeit, Programme die beim Systemstart geladen werden, komfortabel zu löschen. Start - Ausführen - regedit - OK - HKEY-LOCAL-MACHINE - Software - Microsoft - Windows - CurrentVersion - Run
Achtung: Keine systemwichtigen Programme deaktivieren! Sucht dort nach dlll.exe (Name Variabel) und entfernt diese. Neustart. Um zu prüfen ob die dlll.exe ganz vom Pc entfernt wurde, muss man Avenger ausführen und den Pfad zur dlll.exe direkt löschen lassen. http://swandog46.geekstogo.com/avenger2/download.php Porgramm entpacken -> die.exe starten -> dann den Pfad zur dlll.exe ( Er wird euch im Hjackthislog so dargestellt: C:\Users\Public\dlll.exe. Name variabel!) eingeben und Execute lassen. Dabei beachtet bitte, dass ihr die Internetverbindung kappt. Files to delete: C:\Users\Public\dlll.exe <- Das hier bei Avenger eingeben. Weil mich schon einige gefragt haben, warum sie die dlll.exe nicht finden können: Der Virus kann auch anders heißen^^: C:\WINDOWS\Lcidea.exe C:\Users\Mobil\AppData\Local\Temp\Dj2.exe C:\Users\ AppData\Local\Temp\Zzc.exe C:\Users\user\AppData\Local\Temp\Rxh.exe C:\Windows\Rqedab.exe C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\winsvcn.exe Weiter auf der folgenden Seite
7. Virus noch immer nicht gelöscht? Lasst euren Pc mit Combofix Scannen Anleitung hier: http://ttsclan.tt.funpic.de/viren/combofixtut.pdf Führt diesen Punkt aber nur aus, wenn ihr ausdrücklich darum gebeten wurdet! ICQ: 313557760 http://www.computerhilfen.de/hilfen-17-328400-0.html http://www.computerhilfen.de (Benni17) Feedback wäre nett J Der Verfasser dieses Tutorials ist nicht verantwortlich für Systemausfälle /- schäden, die durch falsche Behandlung der einzelnen Punkte enstehen könnten. Benedict Poppe