FAQ - zur Anleitung

Dies ist die FAQ zu dieser Anleitung

Inhalt:
  1. Systemwiederherstellung
  2. eScan
  3. eScan-Check
  4. HijackThis
  5. LSP und WinSock-Fix (O10 Einträge bei HijackThis, fehlerhafte Internetverbindung)
  6. about:blank - se.dll\sp.html - Cleaner-Tool
  7. AdAware
  8. Spybot Search & Destroy
  9. CWShredder


1. Systemwiederherstellung/System Restore/System Volume Information
zurück nach oben

- Ich kann nicht auf den Ordner "System Volume Information" zugreifen, mir werden darin jedoch Viren angezeigt!
"System Volume Information" ist die Systemwiederherstellung von Windows XP. Bei einem infizierten System sollte man sie vor der Bereinigung deaktivieren und nach Abschluss der Reinigung wieder aktivieren, so werden alle bis dato angelegten und somit infizierten Wiederherstellungspunkte gelöscht und bei erneuter Aktivierung, wird wieder ein neuer (jetzt hoffentlich sauberer) angelegt.

- Wie de/aktiviere ich die Systemwiederherstellung unter Windows XP?
Arbeitsplatz >> (rechte Maustaste) >> Eigenschaften >> Registerkarte "Systemwiederherstellung" >> Kontrollkästchen "Systemwiederherstellung deaktivieren" oder "Systemwiederherstellung auf allen Laufwerken deaktivieren" >> Übernehmen

Weitere Informationen dazu: gibt es hier und natürlich bei http://www.google.de/


2. eScan
zurück nach oben
Achtung: es gibt jetzt ein neues Tool genannt eScan-Check, es wird dringend empfohlen eScan-Check anstelle von eScan in Zukunft zu verwenden. Das Basisprogramm eScan wird hier nur der Vollständigkeit halber aufgeführt.

- Ich habe die Anleitung zu eScan sorgfältig durchgelesen, doch im Forum heißt es immer ich soll ein Log von eScan posten, wie funktioniert das?
Scanne dein System im abgesicherten Modus, wie in der Anleitung beschrieben. Nachdem der Scanvorgang beendet ist. klicke auf "View Log". Der Texteditor öffnet sich, speichere das .txt File am Besten vollständig ab, falls du es für eine spätere Verwendung noch einmal brauchst. Öffne dann mit der Tastenkombination [Strg] + [F] die Suchfunktion, gebe "infected" (ohne die Anführungszeichen) ein und durchsuche das Logfile nach allen Treffern. Betroffene Zeilen komplett abkopieren und im Forum posten, sowie die Scanauswertung am Ende des Logfiles (Anzahl der Virenfunde, Fehler, etc).


3. eScan-Check
zurück nach oben

- Ich habe die Anleitung zu eScan-Check sorgfältig durchgelesen, doch ich habe noch eine Frage?
Eigentlich sollte die Anleitung zu eScan-Check keine Fragen mehr offen lassen:
http://virus-protect.net/escan.html
Dort ist sehr ausführlich und bebildert beschrieben wie es geht. Sollte es dennoch Unklarheiten nach der aufmerksamen Lektüre dieser Anleitung geben: einfach fragen.


4. HijackThis
zurück nach oben

- Wie geht das alles mit HijackThis überhaupt? Scannen? Hä? Hilfe!!
auch hier verlinke ich mit Dank auf Sabinas Seite:
http://virus-protect.net/hjtkurz.html
Eine kurze bebilderte Anleitung zu den wichtigsten Funktionen von HijackThis.

- Ich habe mein HijackThis-Log automatisch auswerten lassen, wie fixe ich Einträge?
Nachdem du mit HijackThis einen Systemscan vorgenommen hast, siehst du das Hijackthis-Fenster und eine Auflistung der gefundenen Einträge. Setze ein Häkchen vor Einträgen die du löschen möchtest, hast du alle zu löschenden Einträge ausgewählt drücke den Button "Fix checked". Sollte sich im Nachhinein herausstellen, dass du etwas gelöscht hast, was du nicht wolltest (z.B. ein Programm aus dem Autorun gelöscht, welches du dort aber haben möchtest), so kannst du Einträge mit der eingebauten Backup-Funktion wieder herstellen. Dazu starte HijackThis einfach erneut und wähle nun bei den Startoptionen "View the list of Backups" aus. Wähle dort alle wieder herzustellenden Einträge aus, indem du vor ihnen wieder ein Häkchen setzt und abschließend auf "Restore" klickst.

- Was bedeuten eigentlich die ganzen HijackThis-Einträge und diese Nummern?
Quelle: http://www.wintotal.de/
Registry
R0 = Internet Explorer Startseite (Main,Start Page, SearchAssistant)
R1 = Internet Explorer Startseite (Main,Search Bar,Search Page, SearchURL)
R2 = Internet Explorer Startseite
R3 = Internet Explorer Plugins, UrlSeachHook, Beispiel i-Nav (unter Menü "Extras")

File
F0 = Autostart-Programm-Einträge in der INI-Datei (sollten meistens gefixt werden),
Beispiel= system.ini: Shell=Explorer.exe C:\WINDOWS\System32\system32.exe
F1 = Autostart-Programm-Einträge in der ini-Datei (heikel, nicht alle Einträge sind schlecht)
Beispiel = win.ini: run=C:\windows\System32\services\wmplayer.exe (TrojanDownloader.Win32.Krepper)

Netscape
F2 = REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Wird seit HijackThis 1.98 angezeigt. Steht nichts nach userinit.exe ist der Eintrag gut.
Beispiel:
UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe = böser Eintrag.
N1 = prefs.js-Änderungen von Netscape 4 (Browser Start- oder Suchseiten), Beispiel = Netscape 4: user_pref("browser.startup.homepage", "http://www.yahoo.de");
N2 = prefs.js-Änderungen von Netscape 6 (Browser Start- oder Suchseiten)
N3 = prefs.js-Änderungen von Netscape 7 (Browser Start- oder Suchseiten)
N4 = prefs.js-Änderungen von Mozilla (Browser Start- oder Suchseiten)

Other
O1 = Umleitungen in der HOSTS-Datei, Beispiel WinTotal.de = 213.133.111.171
O2 = BHO-Programmerweiterungen (Browser Helper Objects), Beispiel Yahoo, i-Nav, Acrobat Reader
O3 = Einträge in der Toolbar, Beispiel Windows-Media-Player (msdxm.ocx), Yahoo
O4 = Autostarteinträge aus der Registry (um 04-Einträge zu fixen, muss erst der jeweilige Prozess im Taskmanager beendet werden)
O5 = Internetoptionen sind ausgeblendet/deaktiviert (Einträge in der control.ini)
O6 = Zugriff auf Internetoptionen durch Administrator deaktiviert (Beispiel Register "Allgemein")
O7 = Zugang auf Regedit durch Administrator deaktiviert
O8 = Extra-Einträge im "Kontextmenü" des IE (Browsererweiterungen), Beispiel Office, Winzip, Web-Accessories (Toogle Images, Quick Search)
O9 = Extra-Buttons in der IE-Toolbar oder zusätzliche Einträge im IE-Menü "Extras", Beispiel = Yahoo- oder AIM-Messenger
O10 = Winsock-Veränderungen (Beispiel durch New.Net), Hinweis: wer NOD32 oder Norman Antivirus benutzt sollte "imon.dll missing" bzw. "normanpf.dll missing" ignorieren.
O11 = Zusätzliche Gruppe im IE-Fenster "Erweiterte Optionen"
O12 = IE-Plugins (Programmerweiterungen des IEs)
O13 = Veränderung der Standard-Voreinstellungen des IE (Url-Umleitung Prefix)
O14 = Veränderungen unter "Webeinstellungen zurücksetzen" (IERESET.INF), Beispiel = IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm (Internet-Service-Provider), Einträge, die nicht vom Provider stammen, fixen
O15 = Unerwünschte Seiten in "Vertrauenswürdige Seiten"
Beispiel: Trusted Zone: *i-lookup.com
O16 = ActiveX-Objekte (auch bekannt als Downloaded Program Files), Beispiel Macromedia Shockwave und Flash, ActiveX Control, Office Update Engine
O17 = Domäne zum ISP oder Netzwerk (DNS Server Adressen) aber auch Lop.com Einträge, Beispiel = HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nl.oracle.com
O18 = Zusätzliche bzw. veränderte Protokolle, Beispiel: Protocol hijack: about {53B95211-7D77-11D2-9F80-00104B107C96}
"cn" für CommonName, "ayb" für Lop.com
O19 = Veränderungen des "User Style Sheet" (CSS)
O20 = Registry-Einträge in AppInit_DLLs unter HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows. Beispiel "Norton CleanSweep" legt hier seine apitrap.dll ab.
O21 = Registry-Einträge in ShellServiceObjectDelayLoad (SSODL) unter HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad. Standard-Einträge sind PostBootReminder, CDBurn, SysTray und WebCheck.
O22 = SharedTaskScheduler Autostart Einträge nur unter Windows NT/2000/XP in HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ SharedTaskScheduler.
O23 = nicht systemtypische Dienste (nur unter Windows NT/2000/XP) in HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services

- Ich habe bei der automatischen Auswertung "unbekannte" oder "eventuell Böse" Einträge gefunden, ich weiß jedoch nicht ob sie schädlich sind oder nicht?
Verdächtige Dateien die man selber nicht zuordnen kann, sollte man sorgfältig überprüfen lassen. Dies kann man bei einigen Onlinescannern sehr gut tun. Einer der Besten und hier im Forum daher am häufigsten empfohlenen ist http://virusscan.jotti.org/. Der Vorteil: hier wird nicht nur mit einer Scanengine gearbeitet, sondern mit einer Kombination aus mehreren bekannten und effizienten Scannern. Die verdächtige Datei wird hoch geladen und dann überprüft.
Außerdem hilft oft natürlich auch http://www.google.de/ weiter um unbekannte Prozesse und Dateien eventuell zu identifizieren.


5. LSP und WinSock-Fix
zurück nach oben

- Ich habe einen O10 Eintrag bei HijackThis, die automatische Auswertung sagt, ich soll ihn mit LSP-Fix beheben?
Das Tool dazu gibt es hier (http://www.cexx.org/lspfix.htm) oder hier (http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm).
Nach dem herunterladen starte die LSPFix.exe >> Hake das Kontrollkästchen "I know what I'm doing" an. Wähle aus der Liste die Datei, welche von HijackThis bei dem O10 Eintrag angezeigt wird aus (nur diese!), drücke danach auf ">>" um die Datei auf die rechte Seite zu bringen. Abschließend drücke auf "Finish >>"
Nachdem du den Fix vorgenommen hast, gehe in den Ordner in welchem sich die Datei befindet und lösche sie manuell. Wichtig: lösche die Datei erst, nachdem du sie mit dem LSPFix entfernt hast.

- Nachdem ich einige Malware entfernt habe funktioniert mein Internetzugang nicht mehr!
Ein Grund dafür kann sein, dass durch die Entfernung der WinSock von Windows beschädigt wurde, doch nicht verzweifeln. Auch dafür gibt es Hilfe in Form eines Tools. Besorge dir den WinsockFix (z.B. hier http://www.tacktech.com/display.cfm?ttid=257). Führe das Tool aus, erstelle ein Backup deiner Registry (nur zur Sicherheit) indem du auf ReG-Backup klickst, danach lässt du deinen Winsock reparieren indem du auf "Fix" klickst. Nachdem das Tool fertig ist, starte den Rechner neu und der Internetzugang sollte wieder funktionieren.


6. about:blank - se.dll\sp.html - Cleaner-Tool
zurück nach oben

- Ich habe ein hartnäckiges Problem mit about:blank - se.dll\sp.html ... Hilfe?
Infos und ein Cleaner Tool dafür gibt's unter anderem hier: http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html


7. AdAware
zurück nach oben

- Wie update ich AdAware?
Es sollte vor einem Scan immer überprüft werden, ob Updates zur Verfügung stehen.
Starte AdAware, klicke auf "Check for Updates now" >> "Connect"

- Wie scanne ich mit AdAware richtig?
Handelt es sich nicht nur um einen kurzen Routinescan, sondern um ein infiziertes System, welches gesäubert werden soll, sollte man auf jeden Fall einen Vollscan durchführen. Das bedeutet:
Starte AdAware im abgesicherten Modus, klicke auf "Start" >> Wähle aus: "Perform full system scan" >> "Next"
Nachtrag:
Eine sehr schöne Anleitung von Sabina und YourHighness zum scannen mit AdAware gibt es hier:
http://virus-protect.net/adaware.html

- Ich wurde aufgefordert ein Logfile von AdAware zu posten, wie mache ich das?
Scanne mit AdAware wie beschrieben. Nachdem der Scanvorgang abgeschlossen ist, klicke auf "Show Logfile". Nun siehst du das Logfile im AdAware-Fenster. Rechtsklicke in das Log und wähle "save" um das Log als Textdatei abzuspeichern. Kopiere den Inhalt danach ins Forum.

- AdAware findet haufenweise MRU-einträge und "negligible objects". Ist mein System verseucht?!
Nein. MRU-Einträge (Most-Recent-Used) sind die Verlaufseinträge von Windows. Windows hat die Angewohnheit, fast alles was du auf deinem Rechner machst zu protokollieren, von Programm- und Dateiaufrufen, bis hin zu Surfspuren (Verlauf, letzte Suchanfragen, letzte geöffnete Dateien, etc). Diese Dinge werden in den MRU-Listen gespeichert und können mit AdAware gelöscht werden, wenn man will.

- AdAware hat bei mir kritische Objekte gefunden, wie kann ich diese beheben?
Markiere (Häkchen setzen) alle gefunden kritischen Objekte und drücke "Next" um sie löschen zu lassen.


8. Spybot Search & Destroy
zurück nach oben

- Wie update ich Spybot Search & Destroy?
Starte Spybot S&D, klicke auf "Nach updates suchen", nachdem der Update-Check abgeschlossen ist, wähle durch anhaken aus der Liste alle Updates aus und klicke auf "Updates herunterladen" um den Vorgang fortzusetzen. Spybot bietet die Option Updates von verschiedenen Mirrors zu beziehen, falls ein Server mal nicht verfügbar sein sollte. Den Server kannst du zwischen den beiden Buttons "Nach Updates suchen" und "Updates herunterladen" in einer Drop-Down-Liste auswählen.

- Was ist die Option Immunisieren und sollte ich das ausführen?
Spybot S&D bietet die Möglichkeit das System gegen einige bekannte Bedrohungen abzusichern, es empfiehlt sich also diesen zusätzlichen Schutz wahrzunehmen. Dies ersetzt jedoch auf keinen Fall einen Virenscanner sowie regelmäßige Windowsupdates und Systempflege. Wähle dazu die Option "Immunisieren", nach einer kurzen Überprüfung zeigt Spybot an ob und wieviele Absicherungen vorgenommen werden können. Klicke dann auf den Button mit dem grünen Pluszeichen "+ Immunisieren" um die Absicherungen vorzunehmen. Nach jedem Update von Spybot sollte man hier nochmal rein schauen, da es sein kann, dass neue Immunisierungen hinzu kommen.

- Wie scanne ich mit Spybot Search & Destroy?
Überprüfe zunächst ob Updates für Spybot verfügbar sind, wenn ja, lade sie herunter. Starte Spybot im abgesicherten Modus und wähle links aus der Optionsliste "Search & Destroy" und dann "Überprüfen".

- Spybot hat kritische Objekte gefunden, wie lösche ich sie?
Markiere durch anhaken alle gefunden Objekte und klicke auf "markierte Probleme beheben".

- Ich wurde aufgefordert ein Logfile von Spybot Search & Destroy zu posten, wie mache ich das?
Nachdem du einen Scan wie beschrieben mit Spybot durchgeführt hast, rechtsklicke in das Fenster wo die Scanergebnisse angezeigt werden. Wähle dort "Save full report to file..." und speichere das Log als Textdatei ab. Öffne die Datei anschließend und markiere & kopiere den Inhalt.

- Ich habe immer wieder einen DSO-Exploit mit Spybot, egal wie oft ich ihn fixe!!
Vor einiger Zeit gab es einen völlig harmlosen Bug bei Spybot, durch welchen dieser Exlpoit immer angezeigt wurde, ob er nun wirklich vorhanden war oder nicht. Mittlerweile ist dieser Bug jedoch behoben, update dringendst deine Signaturen von Spybot!


9. CWShredder
zurück nach oben

- Wie update ich den CWShredder?
Starte den CWShredder und klicke auf "Check for Update".