Tipps & Tricks
20.01.2005, 18:00 Uhr
Saristar-Dialer entfernen
Ich habe mir den Virus oder Dialer saristar.dll eingefangen und kann seitdem nicht mehr mailen. Norton löscht ihn leider nicht. Wenn ich die Datei manuell löschen möchte, kommt immer die Meldung: «Der Zugriff wurde verweigert. Stellen Sie sicher, dass der Datenträger weder voll noch schreibgeschützt ist und die Datei gerade nicht verwendet wird». Was kann ich noch tun?
Das ist offenbar kein Virus, sondern ein Dialer, der bei Symantec unter dem Namen Trojan.Win32.Dialer.eH bekannt [1] ist.
Laut der englischen Beschreibung werden Sie ihn so los:
Aktualisieren Sie Norton zuerst nochmals via Internet (LiveUpdate), damit Ihr Virenscanner auf dem neuesten Stand ist.
Nun müssen Sie die Datei saristar.dll aus dem System "abmelden". Das tun Sie, indem Sie auf "Start/Ausführen" klicken. Ins Ausführen-Feld tippen oder kopieren Sie genau diesen Befehl hinein:
regsvr32 /u "%system%\saristar.dll"
Klicken Sie nun auf OK. Bestätigen Sie allenfalls die Rückfrage des Systems.
Führen Sie nun einen kompletten Virenscan durch. Wenn sich die Datei immer noch nicht löschen lässt (weder durch Ihren Virenscanner, noch von Hand), dann starten Sie den PC im abgesicherten Modus. Diesen erreichen Sie, wenn Sie nach dem Einschalten des PCs noch vor dem Windows-Start ein- oder mehrmals die Taste F8 drücken und den abgesicherten Modus auswählen. Scannen Sie Ihr System in diesem Modus nochmals bzw. versuchen Sie die Datei saristar.dll zu löschen.
Nun sollte noch die Windows-Registry von Einträgen befreit werden, die vom Dialer angelegt worden sind. Es könnten einige davon auch fehlen.
Starten Sie den Registry-Editor durch Anklicken von "Start/Ausführen" und Eintippen von REGEDIT, gefolgt vom Klick auf die OK-Schaltfläche. Seien Sie nun bitte sehr vorsichtig im Umgang mit der Registry.
Durch Klicks auf die Pluszeichen in der linken Hälfte des Registry-Editor-Fensters können Sie zu den einzelnen Zweigen navigieren. Löschen Sie die hier folgenden sieben Einträge, sofern vorhanden:
HKEY_CLASSES_ROOT\AppID\{90A52F00-64AC-4DC6-9D7D-4516670275D0}
HKEY_CLASSES_ROOT\AppID\Saristar.DLL
HKEY_CLASSES_ROOT\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50}
HKEY_CLASSES_ROOT\Saristar.Saristar
HKEY_CLASSES_ROOT\Saristar.Saristar.1
HKEY_LOCAL_MACHINE\SOFTWARE\Saristar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50}
(Den letzten Eintrag haben wir wegen seiner Länge auf zwei Zeilen umbrochen.)
Nach dem nächsten PC-Start sollte das Problem eigentlich behoben sein. Auf Ihrem System könnten sich noch weitere Dialer- oder Spyware-Exemplare tummeln. Lesen Sie am besten den Artikel über Spyware und Hijacker im PCtipp 8/2004 (oder im Archiv [2]).
Kommentare
Es sind keine Kommentare vorhanden.
