6. Juli 2006

ZoneAlarm von Hand deinstallieren

Diverse Leute scheinen massive Probleme zu haben, ZoneAlarm wieder loszuwerden. Auf meinen Testsystemen funktionierte der Uninstaller problemlos, trotzdem hier die Anleitung "ZoneAlarm Pro 6.5 von Hand deinstallieren".

Diese Anleitung bezieht sich auf die Standardinstallation von ZoneAlarm Pro 6.5. Auf unterschiedlichen Rechnern scheint sich ZoneAlarm etwas anders zu verhalten. Da muss man halt improvisieren.


Benötigte Software:



Einleitung
ZoneAlarm (Pro) besteht aus einem Treiber, einem Dienst ("True Vector") und der Benutzeroberfläche. Die neue Version 6.5 hat noch einen zweiten Treiber, dessen Bedeutung ich nicht kenne.


1. Prozesse beseitigen
Zuerst beseitigen wir die Benutzeroberfläche und den Dienst. Mit GMER (oder Rootkit Unhooker) killen wir die Prozesse zlclient.exe und vsmon.exe (Process Tab->Rechte Maustaste->Kill process). Falls die Prozesse sich wiedersetzen nehmen wir DarkSpy, das kriegt alles kaputt.


2. Selbstschutz beseitigen
Der Treiber lässt sich nicht entladen. Er benutzt SSDT-Hooks um die ZoneAlarm Autostarts zu bewachen.


GMER, im Rootkit Tab:
Alle Häkchen bis auf "System" löschen , auf Scan klicken.
Auf den ersten SSDT Eintrag von vsdatant.sys klicken, Shift (Umschalttaste) gedrückt halten und auf den letzten klicken. Jetzt sollten alle markiert sein. Rechte Maustaste->Restore SSDT.

Update: Man kann auch Rootkit Unhooker nehmen, einfach Unhook all auswählen.


3. Autostarts beseitigen
Autoruns starten. Options->Hide Microsoft Entries aktivieren.
Allles killen was von "Zone Labs, LLC" ist (zlclient.exe, vsmon.exe, srescan.sys, vsdatant.sys). Srescan.sys kommt nur bei ZoneAlarm 6.5.


4. Dateien löschen


Process Explorer starten, Find->Find Handle or DLL. Nach "zonelabs" suchen.
Doppelklick auf den ersten "Handle" Eintrag.



Rechte Maustaste->Close Handle.
Wiederholen bis alle Handles auf das Verzeichniss ZoneLabs weg sind.

Verzeichnisse löschen (Standardinstallation):
C:\Programme\Zone Labs
C:\Windows\system32\ZoneLabs


5. Reboot, mehr Dateien löschen
Rebooten.

Das Verzeichniss C:\Windows\Internet Logs löschen.

Im Verzeichniss C:\Windows\system32 liegen jetzt noch einige Dateien herum, die mit "vs" und "zl" anfangen. Man kann sie ignorieren oder löschen. Löschen: Rechte Maustaste->Eigenschaften->Version Tab. Wenn da Zone Labs steht, weg damit.

Systemsteuerung->Software->ZoneAlarm. Windows gibt einen Fehler aus. Auf OK klicken und der Eintrag wird gelöscht.


RIP ZoneAlarm

3 Kommentare:

Anonym hat gesagt…

Vielen Dank für diesen exzellenten Artikel!
Ich konnte ZoneAlarm löschen und mein VNC funktioniert wieder.

Anonym hat gesagt…

Wirklich klasse, danke, klappt einwandfrei. Ich frag mich nur: Wie kommt man auf solche Ideen bzw. Deinstallationsakrobatik? Egal, hauptsache, es klappt jetzt mim Syncen..... Danke noch mal!
Grüße
Boris

Anonym hat gesagt…

Hat auch bei mir funktioniert! Vielen Dank für die ausführliche Anleitung.

Gruss
Gerd