So entfernen Sie ILOVEYOU

Beiträge: 3
Zugriffe: 264 / Heute: 1
  So entfernen Sie ILOVEYOU Johnboy
Johnboy:

So entfernen Sie ILOVEYOU

 
05.05.00 13:26
#1
 

   
 
So entfernen Sie ILOVEYOU    
Anleitung zur “Deinstallation” des VBS/LoveLetter-Virus    
    Der E-Mail-Wurm “VBS/LoveLetter”, auch bekannt als “ILOVEYOU”, basiert auf einem Visual-Basic-Skript. Wer noch kein Update für seine Virensoftware findet, kann den Plagegeist auch von Hand entfernen. Außerdem genügt eine simple Änderung an der Windows-Konfiguration, um einen Befall durch diesen Virus zu verhindern.
     
      Die folgende Anleitung bezieht sich auf die gegenwärtig im Umlauf befindliche Variante, deren Skript 10307 Byte lang ist.
     
Schutz vor dem Befall
      Infiziert werden können durch LoveLetter nur Systeme, auf denen Windows 98, Windows 98SE oder Windows 2000 laufen. Das schließt auch beispielsweise Macs ein, die mit einer Emulator-Software arbeiten. Die ursprüngliche Installation des Wurms läuft über den Windows Scripting Host (WSH), der sich bei Windows 98 und SE über Systemsteuerung/Software/Windows Setup/Zubehör deinstallieren lässt. Wie sich der WSH unter Windows 2000 deaktivieren lässt, ist derzeit noch ungeklärt.
     
      In jedem Fall sollten unbekannte Dateianhänge nicht ausgeführt werden. Die Datei, die LoveLetter enthält, heißt “LOVE-LETTER-FOR-YOU.TXT.vbs”. Bei manchen Mail-Programmen wird die Endung “.vbs”, die ein Visual-Basic-Skript identifiziert, nicht angezeigt - hier ist besondere Vorsicht geboten.
     
Deinstallieren von LoveLetter

      Der Wurm legt folgende Dateien an, die seinen Code enthalten. Zum Entfernen der eigentlichen Funktionalität von LoveLetter genügt es, diese zu löschen:
     
(Windows-Verzeichnis)\SYSTEM:
MSKernel32.vbs
Win32DLL.vbs
LOVE-LETTER-FOR-YOU.HTM
LOVE-LETTER-FOR-YOU.TXT.vbs
     
      Wenn sich LoveLetter schon einige Zeit im System austoben konnte, hat er alle Dateien mit folgenden Endungen überschrieben: .css, .hta, .jpeg, .jpg, .js, .jse, .mp2, .mp3, .sct, .vbe, .vbs, vsh.
     
      Bei denen, die nicht schon die Endung .vbs trugen, wird sie hinzugefügt. Das Lieblingsstück heißt dann beispielsweise “musik.mp3.vbs”. Jeder Doppelklick auf diese Dateien kann den Virus wieder neu installieren, da sie nun als Skript ausgeführt werden. Der Inhalt der Originaldateien ist verloren, da LoveLetter sie schlicht überschreibt. Im Glücksfall finden sie sich noch im Papierkorb von Windows. Die infizierten Dateien mit der Endung .vbs sollte man in jedem Fall löschen. Sie sind 10307 Byte groß.
     
      LoveLetter trägt sich an vielen Stellen der Registry ein. Die folgenden Keys sollte man mit regedit (Start/Ausführen/regedit.exe) löschen. Dabei ist jedoch Vorsicht geboten: Ein falscher Klick in der Registry kann das komplette System lahm legen. Wer keine Erfahrungen mit RegEdit hat, sollte die Arbeit einem Spezialisten überlassen:
     
      HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\ Run\MSKernel32
     
      Und:
     
      HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\ RunServices\Win32DLL
     
      Wenn der Wurm sich schon per E-Mail verbreiten konnte, finden sich unter diesem Key noch weitere Einträge in der Registry, sie müssen allesamt gelöscht werden:
     
      HKEY_CURRENT_USER\Software\ Microsoft\WAB\
     
      Der Wurm versucht außerdem über die Startseite des Internet Explorer eine Datei von einem philippinischen Server herunterzuladen. Zwar ist das File dort inzwischen gelöscht worden, man sollte die Startseite aber unter diesem Registry-Key wieder löschen:
     
      HKCU\Software\Microsoft\ Internet Explorer\Main\Start Page
     
      Wenn das Programm bereits geladen wurde, muss der Key zur Ausführung gelöscht werden:
     
      HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\ Run\WIN-BUGSFIX
     
      Die Datei selbst steht im aktuellen Download-Verzeichnis, sie heißt
     
      WIN-BUGSFIX.EXE
     
      und muss ebenfalls gelöscht werden.
     
      Wer den IRC-Client “mIRC” benutzt, muss die beiden folgenden Dateien, sofern vorhanden, aus dem Programm-Verzeichnis von mIRC löschen - LoveLetter verbreitet sich sonst auch beim IRC-Chat über eine HTML-Datei, die per DCC an andere Chatter geschickt wird:
     
      (mIRC-Verzeichnis):
     
      script.ini
     
      Die Warnungen in dieser Datei kann man getrost ignorieren - mIRC funktioniert nach dem Löschen immer noch, nur der Wurm wird nicht mehr verschickt.
     




  So entfernen Sie ILOVEYOU deUhwastehner
deUhwastehn.:

danke o.T.

 
05.05.00 13:45
#2
  So entfernen Sie ILOVEYOU Buckmaster

Erste Festnahme ------- 23jährige Studentin ist Hauptverdäch.

 
#3
ILOVEYOU: Polizei nimmt Verdächtigen fest

Die philippinische Polizei hat nach Angaben der Nachrichtenagentur Reuters heute einen 27-jährigen Mann festgenommen, nachdem sie die Wohnung des angeblichen Urhebers des E-Mail-Wurms ILOVEYOU durchsucht hatte. Die Wohnung liegt im Bezirk Pandacan von Manila, der Gegend, die Experten des FBI als den Ort identifiziert haben wollen, von dem aus der Wurm in Umlauf gebracht wurde. Bevor die Polizei den Mann abführte, habe sie ihn innerhalb der Wohnung verhört, hieß es. 17 Gegenstände seien beschlagnahmt worden – darunter aber kein Computer.

Offizielle des philippinischen National Bureau of Investigation erklärten allerdings, eine 23-jährige Frau, die in dem Gebiet lebe, in dem der Mann verhaftet wurde, sei die Hauptverdächtige. Nachbarn der durchsuchten Wohnung sagten, dort wohnten ein Mann und eine Frau ohne Kinder. Früher hatten Polizeibeamte bereits erklärt, dass zwar der Computer der Verdächtigen für die Aussendung des E-Mail-Wurms benutzt worden sein könnte, sie selbst dafür aber gar nicht verantwortlich sein müsse.

Zu der Behauptung des schwedischen Virus-Experten Fredrik Björck, ein 18-jähriger deutscher Austauschschüler in Australien namens "Michel" sei der Urheber von ILOVEYOU, hat unterdessen die australische Polizei Stellung genommen. Es gebe keine sicheren Hinweise, die einen solchen Verdacht stützten, hieß es.

Ein 18-jähriger deutscher Austauschschüler mit dem Namen Michael, der an der Gold Coast in Australien für ein Jahr die Schule besucht, hat sich an heise online gewandt. Er sei zu Unrecht in Verdacht geraten, nachdem er am 4. Mai die Anleitung aus dem Heise-Newsticker zur Beseitigung des ILOVEYOU-Wurms ins Englische übersetzt und im Usenet verbreitet habe, teilte Michael mit. Aufgrund der Übereinstimmung der genannten Daten hätten ihn Bekannte und Mitglieder seiner Austauschorganisation auf den Verdacht angesprochen. Um einer falschen Beschuldigung vorzubeugen, habe er sich inzwischen selbst an die australische Polizei und die deutsche Botschaft in Canberra gewandt.

Björk hatte angegeben, dem vermeintlichen ILOVEYOU-Urheber durch Spuren im Usenet auf die Fährte gekommen zu sein. Michael hofft nun auf eine Stellungnahme von Björk und würde ihn gern kontaktieren, um den Verdacht auszuräumen. (jk/c't)


Quelle: www.heise.de/ct


Börsenforum - Gesamtforum - Antwort einfügen - zum ersten Beitrag springen