07 January, 2006

Trojaner Nail.exe

Ich habe festgestellt, dass ich vom Trojaner Nail.exe befallen bin.

Symtome: PC sehr langsam, explorer stürzt ständig ab, copy and pase fast unmöglich.

Anbei die Infos, die ich gefunden habe:

Mit dem Workaround bin ich durch (Notepad starte erwartungsgemäss)
Restbeseitigung steht noch an
=======================================================

hier mein kleiner Workaround:
diese lästige Nail.exe konnte ich loswerden, indem:
1) wir im Abgesicherten Modus starten
2) wir dann eine Notepad.exe Kopie erstellt haben
3) die Nail.exe gelöscht wird
4) sehr schnell die "Kopie von der Notepad.exe" in "Nail.exe" umbenannt wird
5) der Rechner rebootet und wieder im Abgesicherten Modus gestartet wird
6) das dann (hoffentliche) aufgenhende Notpadfenster können wir schließen
7) mit regedit kann der Key von
>>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe C:\Windows\Nail.exe<<
in
>>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe<<
zurückversetzt werden.
8) Reboot
9) Restebeseitigung, wie Nail.exe (=Notepad.exe) entfernen (oder auch nicht)
Bei mir hat es funktioniert, trotzdem keine Gewähr!
Viel Glück!

http://www.hijackthis-forum.de


Hier nun die Schritt für Schritt Anleitung:
1.Downloade den Remover (angehängt) und speichere ihn auf deinem Desktop
2.Downloade (wenn nicht schon passiert) die neueste Hijackthis Version und entpacke sie in ihren eigene Ordner
3.Starte im abgesicherten Modus neu, starte dort keine anderen Programme, kein Internet Explorer oder ähnliches
4.Starte den ABIRemover.exe, drücke install, warte (explorer fenster verschwindet kurz)
5.starte direkt neu und erneut in den abgesicherten Modus
6.Fixe den Zufallsschlüssel in der Registry mit Hijackthis (sieht in etwa so aus: O4 - HKLM\..\Run: [veezye] c:\windows\system32\mcnmtya.exe) und alle Einträge die bolger.dll in ihrem Namen haben. Notiere den Zufallsnamen (im Beispiel mcnmtya.exe) und lösche die Datei in deinem System32 Ordner.
7.Starte in den Normalen Modus neu und lasse mindestens einen Online Virenscanner laufen, Z.Bsp.: Panda AV: http://www.pandasoftware.com/product..._principal.htm

Nail/Bolger/Aurora Remover - HijackThis.de Support Board

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus indows XP)

Anleitung: HiJackThis
um

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)