Virus problem-bitte um help zum entfernen

[luke8800gts]

Meine Schwester hat auf meinem PC diesen Berüchtigten Virus mit endung .jpg.scr, der über facebook weitergeleitet wird, geöffnet.
Natürlich hab ich den Prozess schnell über den Taskmanager beenden können. Damit hat er auch aufgehört sich über facebooknachrichten zu verbreiten. hab den betroffen gleich ne nachricht mit "ja nicht öffnen geschickt!".
Dann hab ich den prozess zurückverfolgt und fand ihn in den Temporärendateien und gelöscht. Nur fand ich jetzt bei den Prozessen aller Benutzer eine weitere Datei
also öffne ich den Pfand und bin plötzlich in einem ordner, der eigentlich nicht existiert( hab versteckte dateien eingeblendet, der ordner war trotzdem nicht zu sehen!!!)
auch die Datei war nicht zu sehen und bei jedem neustart öffnet sie sich von neuem!
ich dachte jetzt an einen Konsolen befehl der die datei löscht(kenn mich da aber nicht so aus)!
(Will erstmal alles ausprobieren, bevor ich das system neu auflege!)
Helft mir bitte so schnell wie möglich weiter, Danke im Voraus

 

[Nico25394]

um nen virus wirklich 100%ig zu löschen hilft nur die Festplatte neu aufzusetzen kenn das problem leider nur zu gut...

 

[fischi1305]

versteckte Dateien reicht nicht aus, du mußt geschütze Systemdateien da auch den Haken raus nehmen und am besten alles im abgesicherten Modus machen wenn du schon auf Suche bist und löschen willst, wenn dein Hoppelhase noch einen Dienst mitgebracht hat, am besten mal bei Diensten nach schauen, kannst du diesen auch gleich entfernen


Ob du alles endfernen kannst ist fraglich, ich selbst würde auf Suche gehen, aber Format C ist da immer die 2 alternative die man nicht außer acht lassen sollte


diese Info stammt nicht aus meiner Feder-habe dies aus einem anderen Forum mal gelesen

Man kann Dienste von Programmen, die diese hinterlassen (was eigentlich nicht der Fall sein sollte) aus der Liste der Dienste löschen. Hierzu muss man die Eigenschaften zu dem Dienst unter die Lupte nehmen und dort den Pfad zur (Dienst)-Datei notieren.
Danach mit regedit die Registry starten und den Dateinamen unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

suchen, indem man den Schlüssel markiert und "Suchen" auswählt.

Wird ein Eintrag unter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gesucht er_Dienst

gefunden, so ist

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gesucht er_Dienst

zu löschen.

Nach einem Neustart ist der Dienst aus der Liste verschwunden.

 

[Netrunner]

Wenn Definitiv Virusbefall vorhanden ist, rate ich dringend dazu die Festplatte zu Formatieren und das Betriebssystem neu auf zu setzen. Wer weiss schon wo sich das Ding noch alles rein geschrieben hat.
Geh bei sowas lieber auf Nummer sicher.

 

[Kraligor]

System neu aufsetzen.

 

[luke8800gts]

das problem beim formatieren: ich hab über 2,5 gb dateien auf zu sätzlichen festplatten, wer weiß ob da nicht schon vom virus reingeschrieben wurde!
danke für den Tipp und sieh an was ich gefunden habe! die exe. und eine .ini(Desktop.ini):

[ViewState]
Mode=
Vid=
FolderType=Generic

Natürlich hab ich dann auch gleich auf den Desktop geschaut! und:

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799

scheinen mir dazu da zu sein um den virus bei jedem systemstart zu starten!
Oder weiß vieleleicht jemand mehr?

Danke für die schnellen antworten bis jetzt und im voraus!

Ergänzung (27. November 2011)

oder ist diese ini. nur für die ordner eigenschaften da? denn sie ist in jedem ordner auf meinem computer!

 

[MikeBe]

Daten sichern wenn nicht schon geschehen. Der umsichtige User macht regelmäßig Datensicherung, dann Format C, alles andere ist Flickschusterei, leichtsinnig und vergeudete Zeit. Sowas unterstütze ich nicht!

Du gefährdest auch andere wenn du online bist! Ist fast so als wenn du HIV pos bist und trotzdem ungeschützten Verkehr willst!

 

[fischi1305]

wenn du was gefunden hast, abgesicherte Modus und löschen, ein Versuch ist es doch wert, mein Vorredner hat auch recht, mit einem inviziertem System gefärdest du alle wen du wieder online gehst

Wenn du noch Partitionen hast, diese auch nach versteckten dateien durch suchen, autorundatei, und vorsichtshalber keinen Stick oder externe Festplatte benutzen solange du am suchen und löschen bist

 

[MikeBe]

Das System ist kontaminiert und kompromittiert, ich würde da nicht mehr froh mit.

 

[luke8800gts]

also ich hab es jetzt schon geschafft, alles säuberlich runterzulöschen, es startet kein prozess mehr der nicht da sein darf und das mit den nachrichten hat sich auch erledigt.
Ich helf jetzt mal denen weiter auf facebook die die nachricht vormir bekommen haben (besser: vor meiner schwester), denn die verstehen teilweiße nicht mal wo man die aktuellen prozesse findet

 

[fischi1305]

Vorsorglich würde ich an deiner Stelle Malwarebytes' Anti-Malware laufen lassen ob das Programm was findet, dann gibt es da noch diverse Notfall CD von Avira z.Bsp, und erst wenn du wirklich alles ausprobiert hast, dann kannste den Leuten von Facebook helfen

https://www.computerbase.de/downloads/sicherheit/

hier findest du einige Tools die dir weiter helfen könnten

MikeBe

hast ja recht und die anderen würden mich jetzt verkloppen, aber bevor Format C gemacht wird, kann man ja alles mal ausprobieren, wenns nicht klappt? Ok dann mußte halt platt machen

 

[Kraligor]

Das Problem ist: Niemand kann sagen, ob die Schadsoftware wirklich restlos entfernt wurde. Ein kompromittiertes System ist nicht mehr zu reparieren.

Virenscanner helfen, um Schadsoftware abzufangen, bevor sie ausgeführt werden kann. Wurde sie erst ausgeführt, kann sie im schlimmsten Fall beliebig weitere Malware nachladen, das System verändern und somit auch Virenscanner manipulieren.

 

[MikeBe]

In 45 Minuten habe ich meinen Rechner neu aufgesetzt und ein sauberes System. Dann installiere ich die Programme die ich brauche und habe Ruhe. Was noch fehlt kommt halt in den nächsten tagen drauf, WO IST DAS PROBLEM???

Jedenfalls ist es doch nicht wert da rum zu fuschen und experimentieren, und letztendlich bleibt es ein altes System das Virenbefall hat(te?). Aber jeder wie er will..................