Installieren und Absichern von Win XP - Vorgehensweise bei Virenbefall

#0
23.03.2005, 22:22
Member
Avatar Malkesh

Beiträge: 669
#1 Nachdem immer wieder die gleichen Fragen gestellt werden, dachte ich, es wäre vielleicht nicht verkehrt diverse Informationen zu sammeln und komprimiert hier darzustellen. Es gibt zwar schon einige Anleitungen und Threads mit nützlichen Informationen, jedoch leider verstreut auf mehrere Themen. Ich möchte hier eine Möglichkeit bieten an Informationen und weiterführende Links auf einen Blick zu kommen.

All diese Tipps stammen großteils von anderen Leuten, ich habe sie nur an dieser Stelle zusammengefasst und etwas umformuliert!
Anregungen, Wünsche, Erweiterungen und Kritik sind herzlich willkommen ;)

Sollten irgendwelche Links aus diesem Thread zu 404-Errors führen, tut mir dies natürlich Leid. Zum Zeitpunkt, als ich ihn eröffnet habe, sind alle Links überprüft worden und haben funktioniert. Sollte sich dies in der Zukunft ändern, bitte auf Google zurück greifen. Zu den hier aufgeführten Themen sollten sich dort einfach informative Links finden lassen

Bevor es mit der Anleitung losgeht, hier noch eine sehr gute Seite von Sabina, mit allen möglichen Tipps, Tricks und Tools für einen sicheren Rechner:
http://virus-protect.org/
Reinschauen lohnt sich!


Anleitung zur Installation, Absicherung und Virensäuberung

Inhalt:
- Windows XP System sicher aufsetzen
- Eigentliche Neuinstallation
- So sehen sichere Passwörter aus
- Windows XP weiter absichern
- Virenalarm! Was tun wenn's spinnt?
- FAQ - häufig gestellte Fragen



Windows XP System sicher aufsetzen:

Vorher bereit legen:
- Windows-Updates wie z.B. das SP2 auf CD und eventuell Update-Packs wie z.B. hier erhältlich
- Aktuellste Treiberversionen für die Hardware
- Wichtige Programme wie Virenscanner
-- Liste mit kostenlosen Virenscannern:
http://virus-protect.org/antivirus.html
-- Liste mit Online Virenscans:
http://virus-protect.org/onlinescan.html

Hat man die Updates und wichtigsten Programme schon bereit liegen, muss man nicht Online gehen, bevor dieser erste Schutz bereits installiert ist, des weiteren ist es für das System pfleglich und stabilitätsfördernd gleich die aktuellsten Treiber zu verwenden, anstatt sie später zu updaten.


Eigentliche Neuinstallation:

1. Neu formatieren und installieren (d.h. alles löschen) Anleitung für Windows XP
2. Für das Administratorpasswort auf jeden Fall ein sicheres Passwort verwenden, außerdem ein eingeschränktes Benutzerkonto anlegen, welches zum surfen im Internet verwendet wird
3. Vor der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (kleine Hilfestellung)
4. Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren
5. Den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
6. Vorsichtig bleiben, nur wirklich als sicher bekannte Mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und [warez] -Seiten geboten
7. Spätestens jetzt den Virenscanner installieren und updaten
8. Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern überlegen, ob sie wirklich nötig sind oder mögliche Alternativen in betracht ziehen
9. Keine alten Passwörter wieder verwenden, sondern alle neu anlegen


So sehen sichere Passwörter aus:

- Mindestens 8 Zeichen
- Groß/Kleinschreibung sowie Zahlen und Sonderzeichen verwenden
- Jedes Passwort nur einmal verwenden! Keine alten Passwörter wieder verwerten
- Keine Wörter aus dem Lexikon verwenden, auch den eigenen Namen oder Begriffe aus dem eigenen nicht Umfeld verwenden. Rückwärts schreiben oder das vertauschen einzelner Buchstaben ist ebenfalls keine ausreichende 'Entstellung'
- Tastatur-Sequenzen wie z.B. das bekannte 'qwert' oder 'asdf' sind natürlich ebenfalls mehr als unsicher und sollten daher nicht verwendet werden
- Für verschiedene Zugänge verschiedene Passwörter verwenden
- Passwörter nicht aufschreiben, diese Notizen können immer gefunden werden
- Niemals Passwörter auf dem Computer abspeichern. Auch die komfortable Kennwortspeicherung durch Programme wie z.B. den Browser nicht zulassen!
- Um sich komplexe Passwörter zu merken, greift man am besten auf Eselsbrücken zurück. So hat es sich bei manchen Usern bewährt sich einen Satz zu merken und die Anfangsbuchstaben jedes Wortes als einen Buchstaben im Passwort zu verwenden

Mehr dazu siehe hier und hier

Beispiel:

Eselsbrücke:
Heute ging ich früh nach Hause.

Passwort mit Anfangsbuchstaben:
HgifnH

Das ganze noch mit Sonderzeichen versehen:
Hgi$fnH&

Zahlen einfügen, wobei man beispielsweise Anfangsbuchstaben wie das i durch eine 1 ersetzen kann, um es sich einfacher merken zu können:
Hg1$fnH&

Ergebnis:
Ein Passwort, was oben aufgeführte Kriterien erfüllt und dennoch nicht allzu schwer zu merken ist, für einen Dritten sieht das Passwort nach einer sinnlosen Aneinanderreihung von Buchstaben, Sonderzeichen und Zahlen aus.

Anleitung zu sicheren Passwörtern großteils von Laserpointa übernommen, siehe hier
Anleitung zur Neuinstallation großteils von Mountainking/aelfric sowie raman übernommen, siehe hier


Windows XP weiter absichern:

1. Einer der wohl effektivsten Wege sich zu schützen, ist alles zu deaktivieren was man nicht braucht: http://www.dingens.org/ und http://ntsvcfg.de/
2. Ein vernünftiges Surfverhalten an den Tag legen und mit Köpfchen bei der Sache sein: Interessante Lektüre dazu


Virenalarm! Was tun wenn's spinnt?
Bei Unklarheiten bitte in der FAQ nachschauen ob es bereits Informationen zu der Frage gibt

Wenn man sich nun trotz aller Sicherheitsmaßnahmen etwas eingefangen hat, kann man sich mit einigen Schritten oftmals selbst helfen.
Dafür gibt es ein paar gängige und effektive Tools:

HijackThis: (Kurzanleitung zu HijackThis-Logs --- ausführliche Informationen zu HijackThis, mit Dank an Sabina)
http://www.hijackthis.de/downloads/hijackthis_199.zip

CWShredder:
http://cwshredder.net/bin/CWShredder.exe

AdAware:
http://www.lavasoft.de/support/download/

Spybot S&D:
http://www.safer-networking.org/de/download/index.html

eScan-Check: (Anleitung zu eScan bzw. eScan-Check)
http://www.mwti.net/antivirus/free_utilities.asp
http://virus-protect.org/escan.html

Nach dem herunterladen, sollten alle Programme zuerst geupdatet werden.

Deaktiviere nun die Systemwiederherstellung (siehe FAQ, weiter unten).

Dann führt man einen vollständigen Systemscan mit AdAware und Spybot S&D im abgesicherten Modus durch. Die gefunden kritischen Objekte lässt man alle löschen, indem man alle betroffenen Objekte markiert (Häkchen setzen) und löscht (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken). Im Anschluss am besten einmal den CWShredder drüber laufen lassen und auch von ihm böse Funde beseitigen lassen.
Nach diesen Scans kommt eScan-Check zum Einsatz, eScan verwendet die Kaspersky Engine, wer also Kaspersky sowieso installiert hat, kann diesen statt dessen zum scannen verwenden. Eine bebilderte Anleitung zur Vorgehensweise mit eScan-Check findet ihr hier. Solllte es während dem Scan-Vorgang mit eScan-Check im abgesicherten Modus zu Konflikten kommen deaktiviere deinen Viren-Wächter nur für die Dauer des Scan-Vorgangs (also bitte nicht schon während der Update/Download-Phase)

Eventuelle Virenfunde und Infektionen sollten von eScan-Check entfernt werden.

Will man eine Datei manuell löschen und diese lässt es nicht zu, so ist sie gesondert geschützt und muss bei einem Neustart gelöscht werden.
HijackThis bringt hierfür schon eine eingebaute Funktion mit:
Config... >> Misc Tools >> Delete a File on Reboot
zu Beachten: Dateien die von eScan als "not-a-virus" markiert werden, sind keine Viren, sondern häufig z.B. Scherzprogramme, oder Risikoprogramme (der miRC-Client is dafür ein bekanntes Beispiel)
Außerdem: einzelne verdächtige Dateien kann man Online scannen lassen, sehr bewährt hat sich hierfür: http://virusscan.jotti.org/


Häufig kommt es auch vor, dass User berichten sie könnten eine angeblich infizierte Datei nicht finden. Dies liegt an den Einstellungen des Windows Explorers.
Extras >> Ordneroptionen... >> Ansicht
Hier stellt man sicher dass folgende Einträge ausgewählt sind:
"Inhalte von Systemordnern anzeigen"
"Alle Dateien und Ordner anzeigen"
Außerdem sollten folgende Einträge nicht ausgewählt sein:
"Erweiterungen bei bekannten Dateitypen ausblenden"
"Geschützte Systemdateien ausblenden"
Nun werden alle Dateien angezeigt und sollten auffindbar sein.

Erst jetzt sollte man einen Scan mit HijackThis durchführen und das erzeugte Log abspeichern. Im Anschluss lässt man dieses Logfile am besten zuerst einmal automatisch bei www.hijackthis.de auswerten.
Einträge welche als "Böse" eingestuft werden, sind zu fixen.

Befinden sich Einträge mit dem Code O10 im Logfile, bitte in der FAQ weiter unten nachsehen und wie beschrieben vorgehen.
Beispiel: O10 - Unknown file in Winsock LSP: c:\windows\system32\bmi_lsp.dll (Dateiname variiert)

Solltest du Einträge in deinem Logfile haben die so ähnlich wie die folgenden aussehen, schaue ebenfalls in die FAQ weiter unten, dafür gibt es ein Cleaner-Tool.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank


Von der automatischen Auswertung als "Unbekannt" markierte Einträge muss man sich selber etwas näher ansehen. Gehören sie zu Programmen die man kennt und denen man vertraut kann man sie lassen, sehen sie jedoch verdächtig aus, fixt man auch diese Einträge (keine Sorge, Hijackthis erstellt ein Backup). Auch hier hilft im Zweifel der Online Scan weiter: http://virusscan.jotti.org/.

Abschließend sollte noch mal ein Scan mit allen Tools durchgeführt werden, um zu überprüfen ob man nun sauber ist, ist dies der Fall: Gratulation! (Bitte denke daran die Systemwiederherstellung jetzt zu reaktivieren)
Wenn nicht: schauen ob man vielleicht bei der ersten Runde etwas übersehen hat und die Schritte gegebenenfalls wiederholen, wenn es danach immer noch Unklarheiten gibt, kann man ein HijackThis-Log mit einer genauen Problembeschreibung posten, wo man am besten auch vermerkt welche Viren eventuell mit eScan gefunden wurden (dafür das Logfile von eScan-Check verwenden).

Weitere Anleitung zur Bekämpfung von Viren

Thread zu dem aktuellen se.dll Problem und das Cleaning Tool in der Beta Version gibt's hier (bitte darauf achten die korrekte Version zu verwenden)




Ich hoffe diese Anleitung stellt sich für manchen User als nützlich heraus. Ich erhebe natürlich keinen Anspruch auf Vollständigkeit. Anregung und Kritik sind wie gesagt sehr erwünscht, dies kann dann gerne hinein editiert werden, um die Übersicht zu erhalten
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 06.08.2005 um 16:21 Uhr von Malkesh editiert.
Seitenanfang Seitenende
23.03.2005, 23:05
Member

Beiträge: 1132
#2 Hi Malkesh,

Ich finde es toll, dass Du Dir die Arbeit gemacht und das alles zusammengefasst hast.
Hoffe nur, dass Dein Beitrag gebührend gewürdigt und im Board ganz oben (als permanentente Anzeige) plaziert wird.
Es gibt aber noch einige kleine formale Dinge, die Du überarbeiten solltest (Schreib- und Formatierungsfehler). Auch den Titel könnte man etwas griffiger formulieren, damit jedem klar wird, um was es in Deinem Beitrag eigentlich geht.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
28.03.2005, 19:41
Administrator
Avatar Lukas

Beiträge: 1743
#3 ich möchte ebenfalls Danke für die sehr gute Anleitung und Mühe sagen! ;)
demnächst wird es ein Auflistungssystem für alle Anleitungen und Tipps im Forum geben ;)

btw. http://home.arcor.de/malkesh/anleitung.htm :yo
__________
Gruß Lukas :yo
Seitenanfang Seitenende
18.04.2005, 10:55
Member
Themenstarter
Avatar Malkesh

Beiträge: 669
#4 Ich habe mich entschlossen noch ein paar weitere häufig aufkommende Fragen zu den gängigsten Tools und Problemen zu beantworten, in der Hoffnung sie nutzen dem einen oder anderen User. Natürlich sind weiterhin Kritik und Vorschläge herzlich willkommen.
Sollten aufgeführte Links nicht funktionieren oder Informationen fehlen, immer zuerst mal bei http://www.google.de/ versuchen, es ist erstaunlich was man dort alles zu Tage fördern kann ;)


FAQ zur Anleitung:

Inhalt:
- Systemwiederherstellung
- eScan
- eScan-Check
- HijackThis
- LSP und WinSock-Fix (O10 Einträge bei HijackThis, fehlerhafte Internetverbindung)
- about:blank - se.dll\sp.html - Cleaner-Tool
- AdAware
- Spybot Search & Destroy
- CWShredder



Systemwiederherstellung/System Restore/System Volume Information

- Ich kann nicht auf den Ordner "System Volume Information" zugreifen, mir werden darin jedoch Viren angezeigt!
"System Volume Information"" ist die Systemwiederherstellung von Windows XP. Bei einem infizierten System sollte man sie vor der Bereinigung deaktivieren und nach Abschluss der Reinigung wieder aktivieren, so werden alle bis dato angelegten und somit infizierten Wiederherstellungspunkte gelöscht und bei erneuter Aktivierung, wird wieder ein neuer (jetzt hoffentlich sauberer) angelegt.

- Wie de/aktiviere ich die Systemwiederherstellung unter Windows XP?
Arbeitsplatz >> (rechte Maustaste) >> Eigenschaften >> Registerkarte "Systemwiederherstellung" >> Kontrollkästchen "Systemwiederherstellung deaktivieren" oder "Systemwiederherstellung auf allen Laufwerken deaktivieren" >> Übernehmen

Weitere Informationen dazu: gibt es hier und natürlich bei http://www.google.de/


eScan
Achtung: es gibt jetzt ein neues Tool genannt eScan-Check, es wird dringend empfohlen eScan-Check anstelle von eScan in Zukunft zu verwenden. Das Basisprogramm eScan wird hier nur der Vollständigkeit halber aufgeführt.

- Ich habe die Anleitung zu eScan sorgfältig durchgelesen, doch im Forum heißt es immer ich soll ein Log von eScan posten, wie funktioniert das?
Scanne dein System im abgesicherten Modus, wie in der Anleitung beschrieben. Nachdem der Scanvorgang beendet ist. klicke auf "View Log". Der Texteditor öffnet sich, speichere das .txt File am Besten vollständig ab, falls du es für eine spätere Verwendung noch einmal brauchst. Öffne dann mit der Tastenkombination [Strg] + [F] die Suchfunktion, gebe "infected" (ohne die Anführungszeichen) ein und durchsuche das Logfile nach allen Treffern. Betroffene Zeilen komplett abkopieren und im Forum posten, sowie die Scanauswertung am Ende des Logfiles (Anzahl der Virenfunde, Fehler, etc).


eScan-Check

- Ich habe die Anleitung zu eScan-Check sorgfältig durchgelesen, doch ich habe noch eine Frage?
Eigentlich sollte die Anleitung zu eScan-Check keine Fragen mehr offen lassen:
http://virus-protect.org/escan.html
Dort ist sehr ausführlich und bebildert beschrieben wie es geht. Sollte es dennoch Unklarheiten nach der aufmerksamen Lektüre dieser Anleitung geben: einfach fragen.


HijackThis

- Wie geht das alles mit HijackThis überhaupt? Scannen? Hä? Hilfe!!
auch hier verlinke ich mit Dank auf Sabinas Seite:
http://virus-protect.org/hjtkurz.html
Eine kurze bebilderte Anleitung zu den wichtigsten Funktionen von HijackThis.

- Ich habe mein HijackThis-Log automatisch auswerten lassen, wie fixe ich Einträge?
Nachdem du mit HijackThis einen Systemscan vorgenommen hast, siehst du das Hijackthis-Fenster und eine Auflistung der gefundenen Einträge. Setze ein Häkchen vor Einträgen die du löschen möchtest, hast du alle zu löschenden Einträge ausgewählt drücke den Button "Fix checked". Sollte sich im Nachhinein herausstellen, dass du etwas gelöscht hast, was du nicht wolltest (z.B. ein Programm aus dem Autorun gelöscht, welches du dort aber haben möchtest), so kannst du Einträge mit der eingebauten Backup-Funktion wieder herstellen. Dazu starte HijackThis einfach erneut und wähle nun bei den Startoptionen "View the list of Backups" aus. Wähle dort alle wieder herzustellenden Einträge aus, indem du vor ihnen wieder ein Häkchen setzt und abschließend auf "Restore" klickst.

- Was bedeuten eigentlich die ganzen HijackThis-Einträge und diese Nummern?

Zitat

Quelle: http://www.wintotal.de/

Registry
R0 = Internet Explorer Startseite (Main,Start Page, SearchAssistant)
R1 = Internet Explorer Startseite (Main,Search Bar,Search Page, SearchURL)
R2 = Internet Explorer Startseite
R3 = Internet Explorer Plugins, UrlSeachHook, Beispiel i-Nav (unter Menü "Extras")

File
F0 = Autostart-Programm-Einträge in der INI-Datei (sollten meistens gefixt werden),
Beispiel= system.ini: Shell=Explorer.exe C:\WINDOWS\System32\system32.exe
F1 = Autostart-Programm-Einträge in der ini-Datei (heikel, nicht alle Einträge sind schlecht)
Beispiel = win.ini: run=C:\windows\System32\services\wmplayer.exe (TrojanDownloader.Win32.Krepper)

Netscape
F2 = REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Wird seit HijackThis 1.98 angezeigt. Steht nichts nach userinit.exe ist der Eintrag gut.
Beispiel:
UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe = böser Eintrag.
N1 = prefs.js-Änderungen von Netscape 4 (Browser Start- oder Suchseiten), Beispiel = Netscape 4: user_pref("browser.startup.homepage", "http://www.yahoo.de");
N2 = prefs.js-Änderungen von Netscape 6 (Browser Start- oder Suchseiten)
N3 = prefs.js-Änderungen von Netscape 7 (Browser Start- oder Suchseiten)
N4 = prefs.js-Änderungen von Mozilla (Browser Start- oder Suchseiten)

Other
O1 = Umleitungen in der HOSTS-Datei, Beispiel WinTotal.de = 213.133.111.171
O2 = BHO-Programmerweiterungen (Browser Helper Objects), Beispiel Yahoo,
i-Nav, Acrobat Reader
O3 = Einträge in der Toolbar, Beispiel Windows-Media-Player (msdxm.ocx), Yahoo
O4 = Autostarteinträge aus der Registry (um 04-Einträge zu fixen, muss erst der jeweilige Prozess im Taskmanager beendet werden)
O5 = Internetoptionen sind ausgeblendet/deaktiviert (Einträge in der control.ini)
O6 = Zugriff auf Internetoptionen durch Administrator deaktiviert (Beispiel Register "Allgemein")
O7 = Zugang auf Regedit durch Administrator deaktiviert
O8 = Extra-Einträge im "Kontextmenü" des IE (Browsererweiterungen), Beispiel Office, Winzip, Web-Accessories (Toogle Images, Quick Search)
O9 = Extra-Buttons in der IE-Toolbar oder zusätzliche Einträge im IE-Menü "Extras", Beispiel = Yahoo- oder AIM-Messenger
O10 = Winsock-Veränderungen (Beispiel durch New.Net), Hinweis: wer NOD32 oder Norman Antivirus benutzt sollte "imon.dll missing" bzw. "normanpf.dll missing" ignorieren.
O11 = Zusätzliche Gruppe im IE-Fenster "Erweiterte Optionen"
O12 = IE-Plugins (Programmerweiterungen des IEs)
O13 = Veränderung der Standard-Voreinstellungen des IE (Url-Umleitung Prefix)
O14 = Veränderungen unter "Webeinstellungen zurücksetzen" (IERESET.INF), Beispiel = IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm (Internet-Service-Provider), Einträge, die nicht vom Provider stammen, fixen
O15 = Unerwünschte Seiten in "Vertrauenswürdige Seiten"
Beispiel: Trusted Zone: *i-lookup.com
O16 = ActiveX-Objekte (auch bekannt als Downloaded Program Files), Beispiel Macromedia Shockwave und Flash, ActiveX Control, Office Update Engine
O17 = Domäne zum ISP oder Netzwerk (DNS Server Adressen) aber auch Lop.com Einträge, Beispiel = HKLM\System\CCS\Services\Tcpip\Parameters: Domain = nl.oracle.com
O18 = Zusätzliche bzw. veränderte Protokolle, Beispiel: Protocol hijack: about {53B95211-7D77-11D2-9F80-00104B107C96}
"cn" für CommonName, "ayb" für Lop.com
O19 = Veränderungen des "User Style Sheet" (CSS)
O20 = Registry-Einträge in AppInit_DLLs unter HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows. Beispiel "Norton CleanSweep" legt hier seine apitrap.dll ab.
O21 = Registry-Einträge in ShellServiceObjectDelayLoad (SSODL) unter HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad. Standard-Einträge sind PostBootReminder, CDBurn, SysTray und WebCheck.
O22 = SharedTaskScheduler Autostart Einträge nur unter Windows NT/2000/XP in HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ SharedTaskScheduler.
O23 = nicht systemtypische Dienste (nur unter Windows NT/2000/XP) in
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services
- Ich habe bei der automatischen Auswertung "unbekannte" oder "eventuell Böse" Einträge gefunden, ich weiß jedoch nicht ob sie schädlich sind oder nicht?
Verdächtige Dateien die man selber nicht zuordnen kann, sollte man sorgfältig überprüfen lassen. Dies kann man bei einigen Onlinescannern sehr gut tun. Einer der Besten und hier im Forum daher am häufigsten empfohlenen ist http://virusscan.jotti.org/. Der Vorteil: hier wird nicht nur mit einer Scanengine gearbeitet, sondern mit einer Kombination aus mehreren bekannten und effizienten Scannern. Die verdächtige Datei wird hoch geladen und dann überprüft.
Außerdem hilft oft natürlich auch http://www.google.de/ weiter um unbekannte Prozesse und Dateien eventuell zu identifizieren.


LSP und WinSock-Fix

- Ich habe einen O10 Eintrag bei HijackThis, die automatische Auswertung sagt, ich soll ihn mit LSP-Fix beheben?
Das Tool dazu gibt es hier (http://www.cexx.org/lspfix.htm) oder hier (http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm).
Nach dem herunterladen starte die LSPFix.exe >> Hake das Kontrollkästchen "I know what I'm doing" an. Wähle aus der Liste die Datei, welche von HijackThis bei dem O10 Eintrag angezeigt wird aus (nur diese!), drücke danach auf ">>" um die Datei auf die rechte Seite zu bringen. Abschließend drücke auf "Finish >>"
Nachdem du den Fix vorgenommen hast, gehe in den Ordner in welchem sich die Datei befindet und lösche sie manuell. Wichtig: lösche die Datei erst, nachdem du sie mit dem LSPFix entfernt hast.

- Nachdem ich einige Malware entfernt habe funktioniert mein Internetzugang nicht mehr!
Ein Grund dafür kann sein, dass durch die Entfernung der WinSock von Windows beschädigt wurde, doch nicht verzweifeln. Auch dafür gibt es Hilfe in Form eines Tools. Besorge dir den WinsockFix (z.B. hier http://www.snapfiles.com/get/winsockxpfix.html). Führe das Tool aus, erstelle ein Backup deiner Registry (nur zur Sicherheit) indem du auf ReG-Backup klickst, danach lässt du deinen Winsock reparieren indem du auf "Fix" klickst. Nachdem das Tool fertig ist, starte den Rechner neu und der Internetzugang sollte wieder funktionieren.


about:blank - se.dll\sp.html - Cleaner-Tool

Ich habe ein hartnäckiges Problem mit about:blank - se.dll\sp.html ... Hilfe?
Infos und ein Cleaner Tool dafür gibt's unter anderem hier: http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html


AdAware

- Wie update ich AdAware?
Es sollte vor einem Scan immer überprüft werden, ob Updates zur Verfügung stehen.
Starte AdAware, klicke auf "Check for Updates now" >> "Connect"

- Wie scanne ich mit AdAware richtig?
Handelt es sich nicht nur um einen kurzen Routinescan, sondern um ein infiziertes System, welches gesäubert werden soll, sollte man auf jeden Fall einen Vollscan durchführen. Das bedeutet:
Starte AdAware im abgesicherten Modus, klicke auf "Start" >> Wähle aus: "Perform full system scan" >> "Next"
Nachtrag:
Eine sehr schöne Anleitung von Sabina und YourHighness zum scannen mit AdAware gibt es hier:
http://virus-protect.org/adaware.html

- Ich wurde aufgefordert ein Logfile von AdAware zu posten, wie mache ich das?
Scanne mit AdAware wie beschrieben. Nachdem der Scanvorgang abgeschlossen ist, klicke auf "Show Logfile". Nun siehst du das Logfile im AdAware-Fenster. Rechtsklicke in das Log und wähle "save" um das Log als Textdatei abzuspeichern. Kopiere den Inhalt danach ins Forum.

- AdAware findet haufenweise MRU-einträge und "negligible objects". Ist mein System verseucht?!
Nein. MRU-Einträge (Most-Recent-Used) sind die Verlaufseinträge von Windows. Windows hat die Angewohnheit, fast alles was du auf deinem Rechner machst zu protokollieren, von Programm- und Dateiaufrufen, bis hin zu Surfspuren (Verlauf, letzte Suchanfragen, letzte geöffnete Dateien, etc). Diese Dinge werden in den MRU-Listen gespeichert und können mit AdAware gelöscht werden, wenn man will.

- AdAware hat bei mir kritische Objekte gefunden, wie kann ich diese beheben?
Markiere (Häkchen setzen) alle gefunden kritischen Objekte und drücke "Next" um sie löschen zu lassen.


Spybot Search & Destroy

- Wie update ich Spybot Search & Destroy?
Starte Spybot S&D, klicke auf "Nach updates suchen", nachdem der Update-Check abgeschlossen ist, wähle durch anhaken aus der Liste alle Updates aus und klicke auf "Updates herunterladen" um den Vorgang fortzusetzen. Spybot bietet die Option Updates von verschiedenen Mirrors zu beziehen, falls ein Server mal nicht verfügbar sein sollte. Den Server kannst du zwischen den beiden Buttons "Nach Updates suchen" und "Updates herunterladen" in einer Drop-Down-Liste auswählen.

- Was ist die Option Immunisieren und sollte ich das ausführen?
Spybot S&D bietet die Möglichkeit das System gegen einige bekannte Bedrohungen abzusichern, es empfiehlt sich also diesen zusätzlichen Schutz wahrzunehmen. Dies ersetzt jedoch auf keinen Fall einen Virenscanner sowie regelmäßige Windowsupdates und Systempflege. Wähle dazu die Option "Immunisieren", nach einer kurzen Überprüfung zeigt Spybot an ob und wieviele Absicherungen vorgenommen werden können. Klicke dann auf den Button mit dem grünen Pluszeichen "+ Immunisieren" um die Absicherungen vorzunehmen. Nach jedem Update von Spybot sollte man hier nochmal rein schauen, da es sein kann, dass neue Immunisierungen hinzu kommen.

- Wie scanne ich mit Spybot Search & Destroy?
Überprüfe zunächst ob Updates für Spybot verfügbar sind, wenn ja, lade sie herunter. Starte Spybot im abgesicherten Modus und wähle links aus der Optionsliste "Search & Destroy" und dann "Überprüfen".

- Spybot hat kritische Objekte gefunden, wie lösche ich sie?
Markiere durch anhaken alle gefunden Objekte und klicke auf "markierte Probleme beheben".

- Ich wurde aufgefordert ein Logfile von Spybot Search & Destroy zu posten, wie mache ich das?
Nachdem du einen Scan wie beschrieben mit Spybot durchgeführt hast, rechtsklicke in das Fenster wo die Scanergebnisse angezeigt werden. Wähle dort "Save full report to file..." und speichere das Log als Textdatei ab. Öffne die Datei anschließend und markiere & kopiere den Inhalt.

- Ich habe immer wieder einen DSO-Exploit mit Spybot, egal wie oft ich ihn fixe!!
Vor einiger Zeit gab es einen völlig harmlosen Bug bei Spybot, durch welchen dieser Exlpoit immer angezeigt wurde, ob er nun wirklich vorhanden war oder nicht. Mittlerweile ist dieser Bug jedoch behoben, update dringendst deine Signaturen von Spybot!


CWShredder

- Wie update ich den CWShredder?
Starte den CWShredder und klicke auf "Check for Update".
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 06.08.2005 um 08:38 Uhr von Malkesh editiert.
Seitenanfang Seitenende
14.07.2005, 03:06
Member
Avatar Gool

Beiträge: 4730
#5 Wenn ich mich mit einem Zusatz beteiligen darf:

Zitat

Passwörter nicht aufschreiben, diese Notizen können immer gefunden werden
Diese Regel gilt nur, wenn man sich im Büro etc. befindet und die Passwortliste auch mal aus den Augen lässt. Generell ist es aber eigentlich zu empfehlen, Passwörter zu notieren (nicht im PC speichern!), da die meisten Benutzer dazu neigen, sonst ein Standardpasswort zu nutzen, weil sie sich zu viele Passwörter nicht merken können. Auf einem Zettel notiert sind die Passwörter jedenfalls sicherer als ein Standardpasswort. Der Zugriff auf die Passwörter könnte so jedenfalls quasi nur durch Familienmitglieder oder durch Einbruch erfolgen, jedoch neigen Hacker sehr selten zum Einbruch und der eigenen Familie sollte man vertrauen (und wenn nicht, gibt es ja noch andere Möglichkeiten, die Liste zu schützen).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
31.07.2005, 17:08
Member
Avatar Yourhighness

Beiträge: 279
#6 Hi, ich habe mal auf Sabinas Bitte eine Anleitung geschrieben / übersetzt, in der bestimmte Einstellungen vorgenommen werden um ein gründlicheres Suchen zu ermöglichen:

http://virus-protect.org/adaware.html

MfG,
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
31.07.2005, 17:47
Member
Themenstarter
Avatar Malkesh

Beiträge: 669
#7 Hallo Yourhighness,

danke für den Tipp, eine sehr schöne Anleitung. Habe mir erlaubt den Link gleich einmal in die FAQ hinein zu editieren ;)

Weitere Anregungen sind immer willkommen, wenn ich mal demnächst Zeit finde werde ich auch noch eScan-Check in der Anleitung einbauen.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
06.08.2005, 00:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@Malkesh

diese Anleitung mit eScanCheck110 (bescheidenerweise gesagt ;) ) ist ein wenig uebersichtlicher und einfacher als die von Trojaner-Board . Zudem kann man die verseuchten Dateien auch loeschen.
http://virus-protect.org/escan.html

hier eine Seite fuer Einsteiger: HijackThis
http://virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2005, 08:45
Member
Themenstarter
Avatar Malkesh

Beiträge: 669
#9 Hallo Sabina,

auch dir Danke ich für die Hinweise. Habe mich daraufhin jetzt endlich mal aufgerafft eScan-Check bzw. deine Anleitung einzubauen und auch gerne auf dein HijackThis Kurz-Tutorial in der FAQ verwiesen ;)
Es freut mich das der Thread anklang zu finden scheint und ich hoffe, dass er für viele User nützlich ist.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
06.08.2005, 10:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@Malkesh

Toll, deine Anleitung ;)

Hier noch ein kleiner Beitrag zum Antivirus/free
http://virus-protect.org/antivirus.html
Onlinescans
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.08.2005, 12:21
Member
Themenstarter
Avatar Malkesh

Beiträge: 669
#11 Auch den Vorschlag hab ich eingebaut, gute Liste an Freeware und Online Scannern. Übrigens befindet sich am Anfang der Anleitung auch ein allgemeiner Link zu deiner Seite ;)
Danke für die rege Unterstützung!
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: