Solltet ihr in letzter Zeit Link(s) zu Dateien im ICQ bekommen haben, seid ihr gut dran sie nicht geöffnet zu haben. Habt ihr dies doch getan, im folgenden ist beschrieben, wir ihr den Virus wieder gelöscht bekommt:

Der Virus startet sich beim Systemstart und kann, zumindest momentan, nicht von Antivir gelöscht werden. Die Meldung poppt immer wieder auf, wenn das Virus versucht aktiv zu werden.

Um es zu entfernen (mein Bruder hatte es und ich hab mich dran versucht und war erfolgreich :P) ladet zunächst avenger herunter. Dieses Programm erlaubt es euch zum Systemstart (bevor das Virus lädt) die Virusdateien zu entfernen. Ihr solltet es jedoch nicht unbedacht einsetzen.

Startet den avenger, bestätigt, dann wählt ihr “Input Script Manually” und klickt auf die Lupe. Dort fügt ihr folgenden Text ein (kopieren und einfügen): [quote]Files to delete: %windir%\cc2.exe %windir%\hv4e05.dll %windir%\chater.exe %windir%\system32\alerter.exe %windir%\system32\atrconf.exe %windir%\system32\attmgr32.dll %windir%\system32\attstat.dll %windir%\system32\confatt.dll %windir%\system32\confcon.dll %windir%\system32\confega.dll %windir%\system32\conmgr32.dll %windir%\system32\conperf.exe %windir%\system32\conprf32.dll %windir%\system32\constat.dll %windir%\system32\cfgmmprm.dll %windir%\system32\dmimmdt2.exe %windir%\system32\dssconf.exe %windir%\system32\e1.dll %windir%\system32\egaavi.exe %windir%\system32\egamgr32.dll %windir%\system32\egastat.dll %windir%\system32\egperf32.dll %windir%\system32\evenncob.dll %windir%\system32\fsxsh4.dll %windir%\system32\gtmqf608r7.dll %windir%\system32\hypewmv9.exe %windir%\system32\ipxpextm.exe %windir%\system32\ixsswmas.exe %windir%\system32\j2t3crh.dll %windir%\system32\lprmneth.dll %windir%\system32\lprmneth.exe %windir%\system32\mp4sglmf.dll %windir%\system32\msihftpw.dll %windir%\system32\msisnwcf.dll %windir%\system32\msrdtscf.exe %windir%\system32\netfrtm.dll %windir%\system32\psapdani.dll %windir%\system32\samsusrr.dll %windir%\system32\samsusrr.exe %windir%\system32\scsm.exe %windir%\system32\shsvmdim.dll %windir%\system32\snmpmmcn.dll %windir%\system32\sysshtic.dll %windir%\system32\sysshtic.exe %windir%\system32\tscfvjoy.dll %windir%\system32\trkwpipa.exe %windir%\system32\ujn6oqt.dll %windir%\system32\ulibofff.exe %windir%\system32\uregdeve.dll %windir%\system32\uregdeve.exe %windir%\system32\vbscqdv.exe %windir%\system32\vdshlicw.exe %windir%\system32\vmhevnet.exe %windir%\system32\vmhevnet.dll %windir%\system32\winbpowr.exe %windir%\system32\yapconf.exe

Registry values to replace with dummy: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Registry keys to delete: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\attmgr HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\conmgr HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dssmgr HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\lprmneth HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\samsusrr HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysshtic HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\uregdeve HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet

Registry values to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run | egdiag HKLM\Software\Microsoft\Windows\CurrentVersion\Run | ulibofff [/quote]

Bestätigt und drückt auf die grüne Ampel. Avenger fragt euch dann ob ihr das script ausführen wollt und anschließend ob ihr jetzt neu starten wollt.

Habt ihr das getan und Windows läuft wieder sollte das Virus entfernt sein :)

Und das nächstemal vorsichtig mit seltsamen Links von (hoffentlich unbekannten) Leuten. gruß Rotz