Die DEUTSCHEN Trojaner-Seiten

Hijacker - Erste Hilfe

eScan: Erste Hilfe bei unbekannten Browser-Hijackern

Einsetzen von eScan - Auswertung:

Alle von eScan beanstandeten Funde werden in der 'Virus Log Information' [4] angezeigt und sind ebenso in der 'mwav.log' gespeichert.
Informationen zur entdeckten Malware, können bei Kaspersky eingeholt werden.

[4] Aus dieser ist ersichtlich:
- Wo sich dich Malware befindet
- Um welche Malware es sich handelt

1. Möglichkeit:
Wenn man sich über die Schadfunktion der aktiven Malware im Klaren ist und das System bereinigen will, geht es mit dem nächsten Schritt 'Beseitigung der Malware' weiter.

2. Möglichkeit:
Bei Unklarheiten oder Unsicherheit, was zu tun ist, kann selbstverständlich auch unter Angabe der bisher durchgeführten Aktionen (eScan, HijackThis, usw.) in unserem Forum nachgefragt werden.
Es sind auf jeden Fall die'Virus Log Information' [5] zur Verfügung zu stellen, damit das betroffene System analysiert werden kann.

[5] Rechtsklick auf die Datei Find.bat -> Ziel speichern unter... z.B. 'C:\Find.bat'. Anschließend die Datei 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten Datei 'C:\eScan_neu.txt' posten.

An dieser Stelle, vielen Dank an unser Boardmitglied Haui, dem Autor der Find.bat. Sollten Probleme beim Ausführen der Datei Find.bat auftreten, bitte zunächst folgenden Beitrag von Haui durchlesen.

Wichtig: Das Log-File nach persönlichen Informationen, wie z.B. den Realname, durchsuchen und editieren, bevor es gepostet wird.

[6] Strg + A (alles markieren) -> Strg + C (kopieren) -> Strg + V (in den Beitrag einfügen).

manuelle Alternative:
Öffnen der Datei 'mwav.log' im Ordner 'C:\Bases_X' -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und in den Beitrag übertragen.

 

Einsetzen von eScan - Beseitigung der Malware:

Wie bereits beschrieben, erfolgt die Beseitigung der Malware manuell. Nachfolgend werden mehrere Möglichkeiten beschrieben, welche erheblich zur Erleichterung beitragen werden.

1. Möglichkeit - Total Commander:
Total Commander herunterladen und folgende Einstellung vornehmen:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei 'Versteckte und Systemdateien anzeigen (nur für Experten)' -> 'OK'

Im linken Fenster z.B. zum Ordner 'C:\WINDOWS\Downloaded Program Files' navigieren und die beanstandeten Dateien löschen (markieren -> F8 -> 'JA')

2. Möglichkeit - KillBox:
KillBox herunterladen und öffnen.
Den Pfad der Malware Datei z.B. 'C:\WINDOWS\system32\fltmgr.dll' kopieren und diesen in KillBox einfügen -> Option 'Delete on reboot' auswählen -> rotes X anklicken -> die erste der zwei folgenden Fragen mit 'JA' und die zweite mit 'NEIN' beantworten -> nächsten Pfad einfügen usw. -> bei der letzten Datei auch die zweite Frage mit 'JA' beantworten. Es erfolgt ein Neustart des Systems.

3. Möglichkeit - eScan-Check von Seeker:
eScan-Check1.10 herunterladen und das Archiv z.B. in den vorgeschlagenen Ordner 'C:\escheck' entpacken -> Installieren -> Datei -> eScan-Log öffnen -> mwav.log auswählen -> Haken setzen bei 'Backup der gelöschten Dateien anlegen' und 'Alle Dateien beim Neustart löschen' -> die zu löschenden Dateien anhaken und auf den Button 'Dateien löschen' klicken.
Wichtig: Sollte abschließend ein erneuter Scan mit eScan durchgeführt werden, dann ist es zwingend notwendig, daß die 'mwav.log' zuvor gelöscht wird, da diese nicht überschrieben, sondern nur erweitert wird!

Egal, welche Möglichkeit nun gewählt wurde, man sollte sich darüber im Klaren sein, dass damit nur die Symptome und nicht die Ursache beseitigt wird.

Sollte eine Malware eine Schadfunktion besitzen, die es erlaubt, dass Dritte auf das System zugreifen können, dann sollte ohnehin ein Neuaufsetzen des Systems mit anschließender Absicherung in Erwägung gezogen und durchgeführt werden. Somit wäre auch die Vertrauenswürdigkeit des Systems wieder gegeben.


Da immer wieder danach gefragt wird, noch folgende Auskunft:
Es ist nicht erforderlich, dieses Tool oder gar eine Vollversion von eScan zu erwerben um den hier beschriebenen Scan durchzuführen!

Für die komplette Überarbeitung dieser Anleitung bedanke ich mich bei unserem Foren-Moderator Cidre!

<< zurück zur Einsatzbeschreibung von eScan


Für Besitzer eines Virenscanners aus der Produkt-Palette von Kaspersky (KAV) erübrigt sich ein Scan mit eScan, insofern mit den sogenannten erweiterten Signaturen gearbeitet wird. Unter erweiterten Signaturen werden Signaturen für beispielsweise Dialer, Ad- und Spyware, sowie Pornware verstanden. Bei KAV bis zur Version 4.5 müssen für den Download der erweiterten Signaturen im AV-Updater unter 'Einstellungen ändern' -> 'Aktualisierung über das Internet' die eingetragenen Update-Adressen am Ende von .../updates auf ...updates_x/ geändert werden. Bei KAV 5.0 erfolgt die Änderung über 'Einstellungen' -> 'Update' -> 'Update-Typ', indem hier die Option 'erweiterte Datenbanken' ausgewählt wird.

Lutz (lk), 01.07.2004
letzte Aktualisierung: 23.05.2005