erst einmal guten morgen an alle hilfesuchenden!
da ich das mist dingen auch aufm rechner hatte und ich bei laibe nicht daran gedacht habe mein system *neu* aufzuspielen habe ich mittels der beschreibung ein wenig rumhantiert, was mich letztendlich zum erfolg gebracht hat und ich *kein neues system* installieren musste.
selbst wenn man das system neu aufspielt, wäre der schädling noch auf der festplatte oder den festplatten usb sticks usw!!!!!!°
und da meines wissens noch keine anti virus software den schädling entfernen kann, hoffe ich, dass euch mit diesem post von mir abhilfe geschaffen werden konnte!!!!°
hier steht die beschreibung des schädlings:
http://www.threatexpert.com/report.aspx?uid=10c62b74-9c48-48d0-9d1c-75063c91c73d
soo nun fangen wir mal an....
als erstes laden wir uns das kleine aber feine programm namens " Malwarebytes' Anti-Malware " aus'm netz und installieren es und machen nach der installation einen kompletten system und festplatten scan.
alles was gefunden wird an würmern viren usw. löschen !!!
nun ist der obligatorische
- neustart erforderlich -
wenn der rechner neu bootet die ganze zeit F8 drücken
um in den abgesicherten modus hochzufahren.
dann öffnen wir eine platte / partition nicht wie gewohnt mit doppelklick sondern per explorer.
in der explorerleiste gehen wir auf extras dann auf ordneroptionen / ansicht klicken und einen haken bei versteckte dateien und ordner anzeigen setzen!!!
jetzt schauen wir mal ob wir die autorun.inf und den ordner mit dem namen resycled finden. in dem ordner resycled\boot.com liegt die boot.exe datei. hierzu gleich mehr, da wir zu aller erst die .inf löschen müssen und gehen wie folgt vor:
die autorun.inf ist schreibgeschützt, daher eben den schreibschutz mittels rechtsklick auf die .inf datei und den haken bei schreibschutz entfernen. also haken wegmachen!°
dann öffnen wir die .inf datei mit dem editor (rechtsklick, dann öffnen mit editor) dort steht dann folgendes:
[autorun]
shellexecute="resycled\boot.com e:" <<<<---- e: wäre an diesem Bsp. der Laufwerksbuchtabe!!!!
shell\Open\command="resycled\boot.com e:"
shell=Open
... diesen eintrag löschen wir nun indem wir alles makieren und die ***shift taste gedrückt halten*** und entfernen drücken***.
die nun leere .inf datei wieder speichern und danach die .inf mit ebensolcher shift und entfernen tasten kombi löschen!!!
(ZUR INFO: bei der tasten kombi landen die dateien nicht
im papierkorb, sondern werden unwiederruflich gelöscht!!!)
nun löschen wir den ordner resycled oder recycled wo die boot datei drin steckt mit der gleichen tasten kombi wie eben beschrieben. bitte nicht verwechseln mit dem RECYCLER das ist der papierkorb!!!
dieses machen wir auf all unseren festplatten / partitionen / externen festplatten und usb sticks !°
nachdem wir die dateien autorun.inf auf jedem laufwerk geändert und gelöscht haben sowie die ebenfalls betroffenen ordner recycled/boot.com oder resycled/boot.com gelöscht haben, öffnen wir die registrierungsdatenbank indem wir nun auf START klicken, dann auf AUSFÜHREN klicken und dann regedit eingeben.
*** ANMERKUNG, wir sind immer noch im abgesicherten modus!!! ***
nun sind wir in der registrierung. dort suchen wir nach diesem eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pornovid\CLSID
und löschen nun nur den eintrag pornovid mit der clsid!!!
wenn ihr alles so gemacht habt wie ich hier beschrieben habe, sollten wir an dieser stelle den rechner neu starten. also genz normal runterfahren und neustarten, gell!?
... und alle partitionen deiner /eurer festplatten sowie usb - sticks sollten von nun wieder gewohnt per doppelklick zu öffnen sein!!!!!!!!!
ps: der schädling kontaktiert übrigens remote server und downloadet ohne euer wissen malware usw. auf euren computer. ebenso modifiziert der schädling euer system um die malware zu verstecken. zusätzlich nimmt er verbindung mit der IP: 78.157.142.108 unter port 80 auf!!!!!!!
ich hoffe ich konnte euch mit diesem "guten morgen tutorial" weiter helfen?!
viel spass nun am gewohnten arbeiten per doppelklick!!!!!!!!!
würde mich freuen wenn ihr mal hier reinhört und mir 'ne nachricht hinterlassen würdet!° DANKE.
www.myspace.com/klangzentrale
