Montag, 30. Juli 2012

Entfernung Suissa-Virus (Schweizer Version des GEMA-Virus)

Update: Es sind wohl verschiedene Versionen im Umlauf, daher können die folgenden Schritte nicht bei allen helfen..
  • Finger weg von NPE - Norton Power Eraser, der hat bei mir eine gewünschte Anwenung gelöscht
  • Vorher Daten sichern!

Folgende Vorgehensweise funktionierte unter Windows XP - Lösung ist aber u. U. auch versionsabhängig
  • Abgesichert hochfahren
  • Regedit - Struktur laden - ntuser.dat
  • \Microsoft\Windows\Current Version\Run überprüfen
  • Hier findet man z.B. krlgsludoasomnsvabjrqava.exe
  • Notieren und Eintrag löschen
  • Nach weiteren gleich lautenden Einträgen suchen 
  • HKLM\SOFTWARE\MICROSOFT\DIRECTDRAW\MOSTRECENTAPPLICATION\NAME
  • Zurücksetzen auf iexplore.exe
  • Kontrollieren von
    HKLM\SW\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer.exe
  • löschen exe aus C:\ dokume~1\User\lokale~1\Temp\

Folgende Vorgehensweise funktionierte unter Windows 7 - Lösung ist aber u. U. auch versionsabhängig

  • Abgesichert hochgefahren
  • Eingabeaufforderung
  • cd %temp%
  • dir %.exe
  • gefunden wird derm32.exe
  • umbennenen in derm32.ex_
  • Nach Ergebnis "derm32.exe" in Registry suchen
  • Eintrag unter
  • Gefunden unter HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication
  • Eintrag geändert in iexplore.exe
  • Zur Sicherheit %temp% komplett gelöscht
  • Reboot
Den Eintrag VirtualStore gibt es auf einem anderen Win 7 System nicht, warum?



Keine Kommentare:

Kommentar veröffentlichen