Tipps & Tricks 15.08.2001, 07:00 Uhr

JS.Seeker-Wurm: Finde die REG-Dateien nicht!

Ich benutze Windows 98 (4.10.2222 A), Word 2000, Norton AntiVirus 2000 und den Internet Explorer 6. Offenbar habe ich den Virus JS.Seeker auf meinem System. Mein Virenprogramm von Norton hat die Datei removeit.hta in einem Quarantänebereich isoliert. Zum weiteren Vorgehen habe ich sowohl die Tipps von Ihnen, als auch jene von Symantec gelesen. Demnach soll man die Dateien homerg111.reg und prefs.js löschen und die Dateien backup1.reg und backup2.reg aktivieren. Mein Problem ist nun, dass ich trotz intensiver Suche (über die Windows Dateisuchfunktion) keine dieser Dateien finden kann. Ist das möglich und falls ja, wie gehe ich in diesem Fall vor, um den Virus zu entfernen?
Haben Sie die REG-Dateien, die der JS.Seeker-Wurm erstellt, auf die folgende Weise nicht gefunden? Das könnte ein sehr gutes Zeichen sein.
- Start/Suchen/Dateien/Ordner
- Eintippen von *.reg
- Suchen in: C:\Windows\
Anmerkung: Manche anderen Programme exportieren für gewisse Zwecke ebenfalls Reg-Dateien, also werden Sie vielleicht noch andere als die vom Wurm erstellten REG-Dateien finden.
Wenn diese Reg-Dateien nicht auffindbar sind, hat sich der Wurm womöglich noch gar nicht an der Registry zu schaffen gemacht. Dies wäre der Fall, wenn die Datei "removeit.hta" z.B. wegen Ihres Virenscanners nie ausgeführt werden konnte. Oder wenn Ihr System bereits über das Sicherheitsupdate verfügt, welches eine eigentliche Ansteckung verhindert. Sie schrieben, dass Sie den Internet Explorer 6 verwenden (der sich derzeit - Mitte August 2001 - allerdings noch im Betastadium befindet). Wenn dies kein Tippfehler war, wird dieser das Scriptlet/Typelib (Eyedog) Update [1] bestimmt schon enthalten.
Ob die Wurm-Einträge in der Registry stecken oder nicht, überprüfen Sie, indem Sie sich dort gleich selber umschauen. Lassen Sie hierbei bitte grösste Vorsicht walten. Ein falscher Tastendrücker im Registry-Editor könnte Ihr System lahmlegen.
Starten Sie den Registry Editor über "Start/Ausführen" und Eintippen von REGEDIT. Nun sehen Sie in der linken Fensterhälfte Registry-Zweige vor sich. Einer davon heisst HKEY_CURRENT_USER. Das Pluszeichen vor einem Zweig bedeutet, dass sich darin noch weitere Zweige befinden. Klicken Sie jeweils auf's Plus vor den hier durch einen Backslash (\) abgetrennten Zweigen.
- Also zuerst das Plus vor "HKEY_CURRENT_USER", der sich öffnet...
- dann vor "Software", der sich öffnet...
- dann vor "Microsoft", der sich öffnet... (etc.)
Auf diese Weise hangeln Sie sich zu diesem Zweig vor:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
Klicken Sie "Main" in der linken Fensterhälfte an. Wenn nun bei den Einträgen in der rechten Fensterhälfte diese beiden Einträge fehlen, dann hat es der JS.Seeker-Wurm nie bis in Ihre Registry geschafft:
Default_Page_URL
Default_Search_URL
Sollten diese Einträge vorhanden sein, dann klicken Sie sie in der rechten Fensterhälfte einzeln an und löschen sie durch einmaliges Drücken der DELETE-Taste.
Verfahren Sie genau gleich auch mit diesem Registry-Eintrag:
HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Main
Auch hier dürfen in der rechten Fensterhälfte keine Default_Page_URL oder Default_Search_URL eingetragen sein.
Aktualisieren Sie nun noch einmal die Virendefinitionen Ihres Norton AntiVirus und scannen Sie alle vorhandenen Partitionen. Höchstwahrscheinlich gibt's da kein Virenproblem mehr.
Artikel drucken
Redaktion PCtipp
Gaby Salvisberg
Kommentare
Es sind keine Kommentare vorhanden.
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.