Installieren und Absichern von Win XP - Vorgehensweise bei Virenbefall |
|
---|---|
23.03.2005, 22:22
Member
Beiträge: 669 |
|
|
|
23.03.2005, 23:05
Member
Beiträge: 1132 |
#2
Hi Malkesh,
Ich finde es toll, dass Du Dir die Arbeit gemacht und das alles zusammengefasst hast. Hoffe nur, dass Dein Beitrag gebührend gewürdigt und im Board ganz oben (als permanentente Anzeige) plaziert wird. Es gibt aber noch einige kleine formale Dinge, die Du überarbeiten solltest (Schreib- und Formatierungsfehler). Auch den Titel könnte man etwas griffiger formulieren, damit jedem klar wird, um was es in Deinem Beitrag eigentlich geht. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
28.03.2005, 19:41
Administrator
Beiträge: 1743 |
#3
ich möchte ebenfalls Danke für die sehr gute Anleitung und Mühe sagen!
demnächst wird es ein Auflistungssystem für alle Anleitungen und Tipps im Forum geben btw. http://home.arcor.de/malkesh/anleitung.htm __________ Gruß Lukas |
|
|
18.04.2005, 10:55
Member
Themenstarter Beiträge: 669 |
#4
Ich habe mich entschlossen noch ein paar weitere häufig aufkommende Fragen zu den gängigsten Tools und Problemen zu beantworten, in der Hoffnung sie nutzen dem einen oder anderen User. Natürlich sind weiterhin Kritik und Vorschläge herzlich willkommen.
Sollten aufgeführte Links nicht funktionieren oder Informationen fehlen, immer zuerst mal bei http://www.google.de/ versuchen, es ist erstaunlich was man dort alles zu Tage fördern kann FAQ zur Anleitung: Inhalt: - Systemwiederherstellung - eScan - eScan-Check - HijackThis - LSP und WinSock-Fix (O10 Einträge bei HijackThis, fehlerhafte Internetverbindung) - about:blank - se.dll\sp.html - Cleaner-Tool - AdAware - Spybot Search & Destroy - CWShredder Systemwiederherstellung/System Restore/System Volume Information - Ich kann nicht auf den Ordner "System Volume Information" zugreifen, mir werden darin jedoch Viren angezeigt! "System Volume Information"" ist die Systemwiederherstellung von Windows XP. Bei einem infizierten System sollte man sie vor der Bereinigung deaktivieren und nach Abschluss der Reinigung wieder aktivieren, so werden alle bis dato angelegten und somit infizierten Wiederherstellungspunkte gelöscht und bei erneuter Aktivierung, wird wieder ein neuer (jetzt hoffentlich sauberer) angelegt. - Wie de/aktiviere ich die Systemwiederherstellung unter Windows XP? Arbeitsplatz >> (rechte Maustaste) >> Eigenschaften >> Registerkarte "Systemwiederherstellung" >> Kontrollkästchen "Systemwiederherstellung deaktivieren" oder "Systemwiederherstellung auf allen Laufwerken deaktivieren" >> Übernehmen Weitere Informationen dazu: gibt es hier und natürlich bei http://www.google.de/ eScan Achtung: es gibt jetzt ein neues Tool genannt eScan-Check, es wird dringend empfohlen eScan-Check anstelle von eScan in Zukunft zu verwenden. Das Basisprogramm eScan wird hier nur der Vollständigkeit halber aufgeführt. - Ich habe die Anleitung zu eScan sorgfältig durchgelesen, doch im Forum heißt es immer ich soll ein Log von eScan posten, wie funktioniert das? Scanne dein System im abgesicherten Modus, wie in der Anleitung beschrieben. Nachdem der Scanvorgang beendet ist. klicke auf "View Log". Der Texteditor öffnet sich, speichere das .txt File am Besten vollständig ab, falls du es für eine spätere Verwendung noch einmal brauchst. Öffne dann mit der Tastenkombination [Strg] + [F] die Suchfunktion, gebe "infected" (ohne die Anführungszeichen) ein und durchsuche das Logfile nach allen Treffern. Betroffene Zeilen komplett abkopieren und im Forum posten, sowie die Scanauswertung am Ende des Logfiles (Anzahl der Virenfunde, Fehler, etc). eScan-Check - Ich habe die Anleitung zu eScan-Check sorgfältig durchgelesen, doch ich habe noch eine Frage? Eigentlich sollte die Anleitung zu eScan-Check keine Fragen mehr offen lassen: http://virus-protect.org/escan.html Dort ist sehr ausführlich und bebildert beschrieben wie es geht. Sollte es dennoch Unklarheiten nach der aufmerksamen Lektüre dieser Anleitung geben: einfach fragen. HijackThis - Wie geht das alles mit HijackThis überhaupt? Scannen? Hä? Hilfe!! auch hier verlinke ich mit Dank auf Sabinas Seite: http://virus-protect.org/hjtkurz.html Eine kurze bebilderte Anleitung zu den wichtigsten Funktionen von HijackThis. - Ich habe mein HijackThis-Log automatisch auswerten lassen, wie fixe ich Einträge? Nachdem du mit HijackThis einen Systemscan vorgenommen hast, siehst du das Hijackthis-Fenster und eine Auflistung der gefundenen Einträge. Setze ein Häkchen vor Einträgen die du löschen möchtest, hast du alle zu löschenden Einträge ausgewählt drücke den Button "Fix checked". Sollte sich im Nachhinein herausstellen, dass du etwas gelöscht hast, was du nicht wolltest (z.B. ein Programm aus dem Autorun gelöscht, welches du dort aber haben möchtest), so kannst du Einträge mit der eingebauten Backup-Funktion wieder herstellen. Dazu starte HijackThis einfach erneut und wähle nun bei den Startoptionen "View the list of Backups" aus. Wähle dort alle wieder herzustellenden Einträge aus, indem du vor ihnen wieder ein Häkchen setzt und abschließend auf "Restore" klickst. - Was bedeuten eigentlich die ganzen HijackThis-Einträge und diese Nummern? Zitat Quelle: http://www.wintotal.de/- Ich habe bei der automatischen Auswertung "unbekannte" oder "eventuell Böse" Einträge gefunden, ich weiß jedoch nicht ob sie schädlich sind oder nicht? Verdächtige Dateien die man selber nicht zuordnen kann, sollte man sorgfältig überprüfen lassen. Dies kann man bei einigen Onlinescannern sehr gut tun. Einer der Besten und hier im Forum daher am häufigsten empfohlenen ist http://virusscan.jotti.org/. Der Vorteil: hier wird nicht nur mit einer Scanengine gearbeitet, sondern mit einer Kombination aus mehreren bekannten und effizienten Scannern. Die verdächtige Datei wird hoch geladen und dann überprüft. Außerdem hilft oft natürlich auch http://www.google.de/ weiter um unbekannte Prozesse und Dateien eventuell zu identifizieren. LSP und WinSock-Fix - Ich habe einen O10 Eintrag bei HijackThis, die automatische Auswertung sagt, ich soll ihn mit LSP-Fix beheben? Das Tool dazu gibt es hier (http://www.cexx.org/lspfix.htm) oder hier (http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm). Nach dem herunterladen starte die LSPFix.exe >> Hake das Kontrollkästchen "I know what I'm doing" an. Wähle aus der Liste die Datei, welche von HijackThis bei dem O10 Eintrag angezeigt wird aus (nur diese!), drücke danach auf ">>" um die Datei auf die rechte Seite zu bringen. Abschließend drücke auf "Finish >>" Nachdem du den Fix vorgenommen hast, gehe in den Ordner in welchem sich die Datei befindet und lösche sie manuell. Wichtig: lösche die Datei erst, nachdem du sie mit dem LSPFix entfernt hast. - Nachdem ich einige Malware entfernt habe funktioniert mein Internetzugang nicht mehr! Ein Grund dafür kann sein, dass durch die Entfernung der WinSock von Windows beschädigt wurde, doch nicht verzweifeln. Auch dafür gibt es Hilfe in Form eines Tools. Besorge dir den WinsockFix (z.B. hier http://www.snapfiles.com/get/winsockxpfix.html). Führe das Tool aus, erstelle ein Backup deiner Registry (nur zur Sicherheit) indem du auf ReG-Backup klickst, danach lässt du deinen Winsock reparieren indem du auf "Fix" klickst. Nachdem das Tool fertig ist, starte den Rechner neu und der Internetzugang sollte wieder funktionieren. about:blank - se.dll\sp.html - Cleaner-Tool Ich habe ein hartnäckiges Problem mit about:blank - se.dll\sp.html ... Hilfe? Infos und ein Cleaner Tool dafür gibt's unter anderem hier: http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html AdAware - Wie update ich AdAware? Es sollte vor einem Scan immer überprüft werden, ob Updates zur Verfügung stehen. Starte AdAware, klicke auf "Check for Updates now" >> "Connect" - Wie scanne ich mit AdAware richtig? Handelt es sich nicht nur um einen kurzen Routinescan, sondern um ein infiziertes System, welches gesäubert werden soll, sollte man auf jeden Fall einen Vollscan durchführen. Das bedeutet: Starte AdAware im abgesicherten Modus, klicke auf "Start" >> Wähle aus: "Perform full system scan" >> "Next" Nachtrag: Eine sehr schöne Anleitung von Sabina und YourHighness zum scannen mit AdAware gibt es hier: http://virus-protect.org/adaware.html - Ich wurde aufgefordert ein Logfile von AdAware zu posten, wie mache ich das? Scanne mit AdAware wie beschrieben. Nachdem der Scanvorgang abgeschlossen ist, klicke auf "Show Logfile". Nun siehst du das Logfile im AdAware-Fenster. Rechtsklicke in das Log und wähle "save" um das Log als Textdatei abzuspeichern. Kopiere den Inhalt danach ins Forum. - AdAware findet haufenweise MRU-einträge und "negligible objects". Ist mein System verseucht?! Nein. MRU-Einträge (Most-Recent-Used) sind die Verlaufseinträge von Windows. Windows hat die Angewohnheit, fast alles was du auf deinem Rechner machst zu protokollieren, von Programm- und Dateiaufrufen, bis hin zu Surfspuren (Verlauf, letzte Suchanfragen, letzte geöffnete Dateien, etc). Diese Dinge werden in den MRU-Listen gespeichert und können mit AdAware gelöscht werden, wenn man will. - AdAware hat bei mir kritische Objekte gefunden, wie kann ich diese beheben? Markiere (Häkchen setzen) alle gefunden kritischen Objekte und drücke "Next" um sie löschen zu lassen. Spybot Search & Destroy - Wie update ich Spybot Search & Destroy? Starte Spybot S&D, klicke auf "Nach updates suchen", nachdem der Update-Check abgeschlossen ist, wähle durch anhaken aus der Liste alle Updates aus und klicke auf "Updates herunterladen" um den Vorgang fortzusetzen. Spybot bietet die Option Updates von verschiedenen Mirrors zu beziehen, falls ein Server mal nicht verfügbar sein sollte. Den Server kannst du zwischen den beiden Buttons "Nach Updates suchen" und "Updates herunterladen" in einer Drop-Down-Liste auswählen. - Was ist die Option Immunisieren und sollte ich das ausführen? Spybot S&D bietet die Möglichkeit das System gegen einige bekannte Bedrohungen abzusichern, es empfiehlt sich also diesen zusätzlichen Schutz wahrzunehmen. Dies ersetzt jedoch auf keinen Fall einen Virenscanner sowie regelmäßige Windowsupdates und Systempflege. Wähle dazu die Option "Immunisieren", nach einer kurzen Überprüfung zeigt Spybot an ob und wieviele Absicherungen vorgenommen werden können. Klicke dann auf den Button mit dem grünen Pluszeichen "+ Immunisieren" um die Absicherungen vorzunehmen. Nach jedem Update von Spybot sollte man hier nochmal rein schauen, da es sein kann, dass neue Immunisierungen hinzu kommen. - Wie scanne ich mit Spybot Search & Destroy? Überprüfe zunächst ob Updates für Spybot verfügbar sind, wenn ja, lade sie herunter. Starte Spybot im abgesicherten Modus und wähle links aus der Optionsliste "Search & Destroy" und dann "Überprüfen". - Spybot hat kritische Objekte gefunden, wie lösche ich sie? Markiere durch anhaken alle gefunden Objekte und klicke auf "markierte Probleme beheben". - Ich wurde aufgefordert ein Logfile von Spybot Search & Destroy zu posten, wie mache ich das? Nachdem du einen Scan wie beschrieben mit Spybot durchgeführt hast, rechtsklicke in das Fenster wo die Scanergebnisse angezeigt werden. Wähle dort "Save full report to file..." und speichere das Log als Textdatei ab. Öffne die Datei anschließend und markiere & kopiere den Inhalt. - Ich habe immer wieder einen DSO-Exploit mit Spybot, egal wie oft ich ihn fixe!! Vor einiger Zeit gab es einen völlig harmlosen Bug bei Spybot, durch welchen dieser Exlpoit immer angezeigt wurde, ob er nun wirklich vorhanden war oder nicht. Mittlerweile ist dieser Bug jedoch behoben, update dringendst deine Signaturen von Spybot! CWShredder - Wie update ich den CWShredder? Starte den CWShredder und klicke auf "Check for Update". __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 06.08.2005 um 08:38 Uhr von Malkesh editiert.
|
|
|
14.07.2005, 03:06
Member
Beiträge: 4730 |
#5
Wenn ich mich mit einem Zusatz beteiligen darf:
Zitat Passwörter nicht aufschreiben, diese Notizen können immer gefunden werdenDiese Regel gilt nur, wenn man sich im Büro etc. befindet und die Passwortliste auch mal aus den Augen lässt. Generell ist es aber eigentlich zu empfehlen, Passwörter zu notieren (nicht im PC speichern!), da die meisten Benutzer dazu neigen, sonst ein Standardpasswort zu nutzen, weil sie sich zu viele Passwörter nicht merken können. Auf einem Zettel notiert sind die Passwörter jedenfalls sicherer als ein Standardpasswort. Der Zugriff auf die Passwörter könnte so jedenfalls quasi nur durch Familienmitglieder oder durch Einbruch erfolgen, jedoch neigen Hacker sehr selten zum Einbruch und der eigenen Familie sollte man vertrauen (und wenn nicht, gibt es ja noch andere Möglichkeiten, die Liste zu schützen). __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
31.07.2005, 17:08
Member
Beiträge: 279 |
#6
Hi, ich habe mal auf Sabinas Bitte eine Anleitung geschrieben / übersetzt, in der bestimmte Einstellungen vorgenommen werden um ein gründlicheres Suchen zu ermöglichen:
http://virus-protect.org/adaware.html MfG, __________ Yourhighness Yourhighness' Seite / Mein Blog (Englisch) |
|
|
31.07.2005, 17:47
Member
Themenstarter Beiträge: 669 |
#7
Hallo Yourhighness,
danke für den Tipp, eine sehr schöne Anleitung. Habe mir erlaubt den Link gleich einmal in die FAQ hinein zu editieren Weitere Anregungen sind immer willkommen, wenn ich mal demnächst Zeit finde werde ich auch noch eScan-Check in der Anleitung einbauen. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
06.08.2005, 00:46
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@Malkesh
diese Anleitung mit eScanCheck110 (bescheidenerweise gesagt ) ist ein wenig uebersichtlicher und einfacher als die von Trojaner-Board . Zudem kann man die verseuchten Dateien auch loeschen. http://virus-protect.org/escan.html hier eine Seite fuer Einsteiger: HijackThis http://virus-protect.org/hjtkurz.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
06.08.2005, 08:45
Member
Themenstarter Beiträge: 669 |
#9
Hallo Sabina,
auch dir Danke ich für die Hinweise. Habe mich daraufhin jetzt endlich mal aufgerafft eScan-Check bzw. deine Anleitung einzubauen und auch gerne auf dein HijackThis Kurz-Tutorial in der FAQ verwiesen Es freut mich das der Thread anklang zu finden scheint und ich hoffe, dass er für viele User nützlich ist. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
06.08.2005, 10:39
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@Malkesh
Toll, deine Anleitung Hier noch ein kleiner Beitrag zum Antivirus/free http://virus-protect.org/antivirus.html Onlinescans http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
07.08.2005, 12:21
Member
Themenstarter Beiträge: 669 |
#11
Auch den Vorschlag hab ich eingebaut, gute Liste an Freeware und Online Scannern. Übrigens befindet sich am Anfang der Anleitung auch ein allgemeiner Link zu deiner Seite
Danke für die rege Unterstützung! __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
All diese Tipps stammen großteils von anderen Leuten, ich habe sie nur an dieser Stelle zusammengefasst und etwas umformuliert!
Anregungen, Wünsche, Erweiterungen und Kritik sind herzlich willkommen ;)
Sollten irgendwelche Links aus diesem Thread zu 404-Errors führen, tut mir dies natürlich Leid. Zum Zeitpunkt, als ich ihn eröffnet habe, sind alle Links überprüft worden und haben funktioniert. Sollte sich dies in der Zukunft ändern, bitte auf Google zurück greifen. Zu den hier aufgeführten Themen sollten sich dort einfach informative Links finden lassen
Bevor es mit der Anleitung losgeht, hier noch eine sehr gute Seite von Sabina, mit allen möglichen Tipps, Tricks und Tools für einen sicheren Rechner:
http://virus-protect.org/
Reinschauen lohnt sich!
Anleitung zur Installation, Absicherung und Virensäuberung
Inhalt:
- Windows XP System sicher aufsetzen
- Eigentliche Neuinstallation
- So sehen sichere Passwörter aus
- Windows XP weiter absichern
- Virenalarm! Was tun wenn's spinnt?
- FAQ - häufig gestellte Fragen
Windows XP System sicher aufsetzen:
Vorher bereit legen:
- Windows-Updates wie z.B. das SP2 auf CD und eventuell Update-Packs wie z.B. hier erhältlich
- Aktuellste Treiberversionen für die Hardware
- Wichtige Programme wie Virenscanner
-- Liste mit kostenlosen Virenscannern:
http://virus-protect.org/antivirus.html
-- Liste mit Online Virenscans:
http://virus-protect.org/onlinescan.html
Hat man die Updates und wichtigsten Programme schon bereit liegen, muss man nicht Online gehen, bevor dieser erste Schutz bereits installiert ist, des weiteren ist es für das System pfleglich und stabilitätsfördernd gleich die aktuellsten Treiber zu verwenden, anstatt sie später zu updaten.
Eigentliche Neuinstallation:
1. Neu formatieren und installieren (d.h. alles löschen) Anleitung für Windows XP
2. Für das Administratorpasswort auf jeden Fall ein sicheres Passwort verwenden, außerdem ein eingeschränktes Benutzerkonto anlegen, welches zum surfen im Internet verwendet wird
3. Vor der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (kleine Hilfestellung)
4. Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren
5. Den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
6. Vorsichtig bleiben, nur wirklich als sicher bekannte Mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und [warez] -Seiten geboten
7. Spätestens jetzt den Virenscanner installieren und updaten
8. Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern überlegen, ob sie wirklich nötig sind oder mögliche Alternativen in betracht ziehen
9. Keine alten Passwörter wieder verwenden, sondern alle neu anlegen
So sehen sichere Passwörter aus:
- Mindestens 8 Zeichen
- Groß/Kleinschreibung sowie Zahlen und Sonderzeichen verwenden
- Jedes Passwort nur einmal verwenden! Keine alten Passwörter wieder verwerten
- Keine Wörter aus dem Lexikon verwenden, auch den eigenen Namen oder Begriffe aus dem eigenen nicht Umfeld verwenden. Rückwärts schreiben oder das vertauschen einzelner Buchstaben ist ebenfalls keine ausreichende 'Entstellung'
- Tastatur-Sequenzen wie z.B. das bekannte 'qwert' oder 'asdf' sind natürlich ebenfalls mehr als unsicher und sollten daher nicht verwendet werden
- Für verschiedene Zugänge verschiedene Passwörter verwenden
- Passwörter nicht aufschreiben, diese Notizen können immer gefunden werden
- Niemals Passwörter auf dem Computer abspeichern. Auch die komfortable Kennwortspeicherung durch Programme wie z.B. den Browser nicht zulassen!
- Um sich komplexe Passwörter zu merken, greift man am besten auf Eselsbrücken zurück. So hat es sich bei manchen Usern bewährt sich einen Satz zu merken und die Anfangsbuchstaben jedes Wortes als einen Buchstaben im Passwort zu verwenden
Mehr dazu siehe hier und hier
Beispiel:
Eselsbrücke:
Heute ging ich früh nach Hause.
Passwort mit Anfangsbuchstaben:
HgifnH
Das ganze noch mit Sonderzeichen versehen:
Hgi$fnH&
Zahlen einfügen, wobei man beispielsweise Anfangsbuchstaben wie das i durch eine 1 ersetzen kann, um es sich einfacher merken zu können:
Hg1$fnH&
Ergebnis:
Ein Passwort, was oben aufgeführte Kriterien erfüllt und dennoch nicht allzu schwer zu merken ist, für einen Dritten sieht das Passwort nach einer sinnlosen Aneinanderreihung von Buchstaben, Sonderzeichen und Zahlen aus.
Anleitung zu sicheren Passwörtern großteils von Laserpointa übernommen, siehe hier
Anleitung zur Neuinstallation großteils von Mountainking/aelfric sowie raman übernommen, siehe hier
Windows XP weiter absichern:
1. Einer der wohl effektivsten Wege sich zu schützen, ist alles zu deaktivieren was man nicht braucht: http://www.dingens.org/ und http://ntsvcfg.de/
2. Ein vernünftiges Surfverhalten an den Tag legen und mit Köpfchen bei der Sache sein: Interessante Lektüre dazu
Virenalarm! Was tun wenn's spinnt?
Bei Unklarheiten bitte in der FAQ nachschauen ob es bereits Informationen zu der Frage gibt
Wenn man sich nun trotz aller Sicherheitsmaßnahmen etwas eingefangen hat, kann man sich mit einigen Schritten oftmals selbst helfen.
Dafür gibt es ein paar gängige und effektive Tools:
HijackThis: (Kurzanleitung zu HijackThis-Logs --- ausführliche Informationen zu HijackThis, mit Dank an Sabina)
http://www.hijackthis.de/downloads/hijackthis_199.zip
CWShredder:
http://cwshredder.net/bin/CWShredder.exe
AdAware:
http://www.lavasoft.de/support/download/
Spybot S&D:
http://www.safer-networking.org/de/download/index.html
eScan-Check: (Anleitung zu eScan bzw. eScan-Check)
http://www.mwti.net/antivirus/free_utilities.asp
http://virus-protect.org/escan.html
Nach dem herunterladen, sollten alle Programme zuerst geupdatet werden.
Deaktiviere nun die Systemwiederherstellung (siehe FAQ, weiter unten).
Dann führt man einen vollständigen Systemscan mit AdAware und Spybot S&D im abgesicherten Modus durch. Die gefunden kritischen Objekte lässt man alle löschen, indem man alle betroffenen Objekte markiert (Häkchen setzen) und löscht (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken). Im Anschluss am besten einmal den CWShredder drüber laufen lassen und auch von ihm böse Funde beseitigen lassen.
Nach diesen Scans kommt eScan-Check zum Einsatz, eScan verwendet die Kaspersky Engine, wer also Kaspersky sowieso installiert hat, kann diesen statt dessen zum scannen verwenden. Eine bebilderte Anleitung zur Vorgehensweise mit eScan-Check findet ihr hier. Solllte es während dem Scan-Vorgang mit eScan-Check im abgesicherten Modus zu Konflikten kommen deaktiviere deinen Viren-Wächter nur für die Dauer des Scan-Vorgangs (also bitte nicht schon während der Update/Download-Phase)
Eventuelle Virenfunde und Infektionen sollten von eScan-Check entfernt werden.
Will man eine Datei manuell löschen und diese lässt es nicht zu, so ist sie gesondert geschützt und muss bei einem Neustart gelöscht werden.
HijackThis bringt hierfür schon eine eingebaute Funktion mit:
Config... >> Misc Tools >> Delete a File on Reboot
zu Beachten: Dateien die von eScan als "not-a-virus" markiert werden, sind keine Viren, sondern häufig z.B. Scherzprogramme, oder Risikoprogramme (der miRC-Client is dafür ein bekanntes Beispiel)
Außerdem: einzelne verdächtige Dateien kann man Online scannen lassen, sehr bewährt hat sich hierfür: http://virusscan.jotti.org/
Häufig kommt es auch vor, dass User berichten sie könnten eine angeblich infizierte Datei nicht finden. Dies liegt an den Einstellungen des Windows Explorers.
Extras >> Ordneroptionen... >> Ansicht
Hier stellt man sicher dass folgende Einträge ausgewählt sind:
"Inhalte von Systemordnern anzeigen"
"Alle Dateien und Ordner anzeigen"
Außerdem sollten folgende Einträge nicht ausgewählt sein:
"Erweiterungen bei bekannten Dateitypen ausblenden"
"Geschützte Systemdateien ausblenden"
Nun werden alle Dateien angezeigt und sollten auffindbar sein.
Erst jetzt sollte man einen Scan mit HijackThis durchführen und das erzeugte Log abspeichern. Im Anschluss lässt man dieses Logfile am besten zuerst einmal automatisch bei www.hijackthis.de auswerten.
Einträge welche als "Böse" eingestuft werden, sind zu fixen.
Befinden sich Einträge mit dem Code O10 im Logfile, bitte in der FAQ weiter unten nachsehen und wie beschrieben vorgehen.
Beispiel: O10 - Unknown file in Winsock LSP: c:\windows\system32\bmi_lsp.dll (Dateiname variiert)
Solltest du Einträge in deinem Logfile haben die so ähnlich wie die folgenden aussehen, schaue ebenfalls in die FAQ weiter unten, dafür gibt es ein Cleaner-Tool.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
Von der automatischen Auswertung als "Unbekannt" markierte Einträge muss man sich selber etwas näher ansehen. Gehören sie zu Programmen die man kennt und denen man vertraut kann man sie lassen, sehen sie jedoch verdächtig aus, fixt man auch diese Einträge (keine Sorge, Hijackthis erstellt ein Backup). Auch hier hilft im Zweifel der Online Scan weiter: http://virusscan.jotti.org/.
Abschließend sollte noch mal ein Scan mit allen Tools durchgeführt werden, um zu überprüfen ob man nun sauber ist, ist dies der Fall: Gratulation! (Bitte denke daran die Systemwiederherstellung jetzt zu reaktivieren)
Wenn nicht: schauen ob man vielleicht bei der ersten Runde etwas übersehen hat und die Schritte gegebenenfalls wiederholen, wenn es danach immer noch Unklarheiten gibt, kann man ein HijackThis-Log mit einer genauen Problembeschreibung posten, wo man am besten auch vermerkt welche Viren eventuell mit eScan gefunden wurden (dafür das Logfile von eScan-Check verwenden).
Weitere Anleitung zur Bekämpfung von Viren
Thread zu dem aktuellen se.dll Problem und das Cleaning Tool in der Beta Version gibt's hier (bitte darauf achten die korrekte Version zu verwenden)
Ich hoffe diese Anleitung stellt sich für manchen User als nützlich heraus. Ich erhebe natürlich keinen Anspruch auf Vollständigkeit. Anregung und Kritik sind wie gesagt sehr erwünscht, dies kann dann gerne hinein editiert werden, um die Übersicht zu erhalten
__________
"life's a bitch, turn around and she'll backstab you for a buck."