CIBS Pol Virus entfernen

[lufon]

Hi zusammen
Ich hab mir beim surfen im Internet den CBIS Pol Virus eingefangen.
Immer wenn ich den Computer starte, verschwindet der Desktop und die Toolbar und es erscheint ein Fenster, wo mir verschiedenste Verbrechen aufgezählt werden, die ich nicht gemacht habe.
Ich habe natürlich schon gegoogelt und schon alle möglichen Sachen ausprobiert. Eine Systemwiederherstellung kommt leider nicht in Frage, da der HP Recovery Manager nicht alle Dateien bei der Datensicherung sichert. (Z.b Javascript-,PHP,-css dateien, folglich wären Stunden der Arbeit umsonst gewesen). Der abgesicherte Modus funktioniert leider nicht, wenn ich den mit "Netzwerktreibern" starte, fährt der Computer automatisch runter.
Mit der CMD konnte ich zwar schon den Internet Explorer starten,allerdings sind die Netzwerktreiber nicht aktiviert.

Ich bin wirklich am verzweifeln und weiss nicht, was ich tun soll . Habt ihr irgendwelche Tipps für mich ?
Ich wäre wirklich sehr dankbar !
Gruss

 

[Chakky]

Live OS booten und die sauberen Daten runterholen.

Abgesicherter Modus OHNE Netzwerk...., Autostart frei machen, System ohne Netzwerk normal Starten, überflüssigen Datenmüll aus den Autostart rausholen (Verknüpfungen, Service etc pp), Userkonten Säubern, Daten holen ->System platt machen

 

[lufon]

Hi
Danke für deine Antwort (obwohl ich nicht alles verstanden habe )
Ich habe es inzwischen geschafft, durch den abgesicherten Modus mit CMD in der Registry die Shell-Datei so zu bearbeiten, dass der Virus beim Auffahren des System nicht aktiv wird. Dann hab ich schnell die wichtigsten Dateien auf ne externe Festplatte kopiert und dann das System wiederhergestellt.

Allerdings habe ich gelesen, dass eine Systemwiederherstellung nicht unbedingt den Virus vernichten muss. Dazu wurde ich noch bei spamhaus.org in ne Liste eingetragen (das heisst doch, dass ich in nem Botnet bin, oder ?).

Nun noch ne Frage, wenn ich mir die beste Kaspersky Version hole und meinen PC komplett durchscannen lasse, werde ich dann aus dem Botnet und von anderen Virusen komplett befreit ?

Gruss lufon

 

[-=Draven=-]

Wenn du Bedarf hast dir das teuerste Antiviren Paket zu holen kannst du das natürlich tun. Aber um eine komplette Neuinstallation wirst du nicht drum herum kommen. Zumindest würde ich das Risiko nicht eingehen wollen.

 

[Mezci]

Hallo zusammen

Ich bin neu hier und freu mich über fachkundige Info, denn leider hab ich das selbe Problem wie lufon.

Ich hab ein etwas älteres Vista-Noti, dass jetzt etwa 1/2 Jahr nicht im Gebrauch stand. Ich hatte zum Glück als erstes die Datenpartition kopiert. Aber dann war ich noch im Netz und der Virenscanner wohl grad nicht mehr aktuell. Zack, der CIBS POL sperrt mich aus.

Beim Start im abgesicherten Modus bootet er gleich wieder, wie bei lufon.

Darum hab ich die Frage an lufon und das Forum:
- Wie genau hast du das eingegeben?

Ich habe es inzwischen geschafft, durch den abgesicherten Modus mit CMD in der Registry die Shell-Datei so zu bearbeiten, dass der Virus beim Auffahren des System nicht aktiv wird.

- Und wie steht es mit den "Geänderten/neu erstellten Systemdateien/Speicherprozessen" bezüglich deinem Post?

Allerdings habe ich gelesen, dass eine Systemwiederherstellung nicht unbedingt den Virus vernichten muss.

Vielen Dank für euren Ratschlag!

Mezci

 

[DerW]

Sobald du im abgesicherten Modus bist, kannst du einfach im Registrierungseditor (zu starten über den Befehl regedit in der Konsole) zu diesem Schlüssel navigieren:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Rechts siehst du dann eine Liste von verschiedenen Datensätzen, einer davon sollte "Shell" heißen. Da machst du dann einen Doppelklick drauf und schreibst als Wert "explorer.exe" (ohne die Anführungszeichen) rein.
Nach einem Neustart sollte die Ransomware nicht mehr aktiv sein und kann mit jedem halbwegs aktuellen Virenscanner entfernt werden.
So zumindest der Standard bei den meisten Vertretern dieser Familie, aber ohne die Datei selbst zu haben, ist es schwieriger, mit 100%iger Sicherheit zu sagen, ob es funktioniert.

Wenn du nicht in den abgesicherten Modus kommst, gibt es aber mittlerweile auch unzählige Live-CDs, die direkt einen Registrierungseditor für nicht geladene Systeme mitbringen.