Heute kam der zweite Rechner mit dem selben Problem zu uns, diesmal musste die Entfernung jedoch per Fernwartung durchgeführt werden. Hier sind wir wie folgt vorgegangen:

  1. Über die Taskleiste “msconfig” starten und unter “Systemstart” das Programm ohne Namen deaktivieren. Danach den Rechner neu starten und wieder anmelden. Ein direktes entfernen des Starteintrages über regedit ist nicht möglich, da DataRestore den Aufruf von regedit ändert bzw. verhindert.
  2. Die Kommandozeile mit “cmd” starten und von dort aus der Explorer starten und die versteckten Dateien anzeigen lassen.
  3. Die DataRestore-Dateien unter C:\Dokumente und Einstellung\All Users\Anwendungsdaten die Virendateien löschen (siehe: http://blog.imagmbh.de/index.php/2011/10/06/data-restore-virus/ )
  4. Den regedit aufrufen und die Registry-Einstellungen wiederherstellen, vergl.: http://blog.imagmbh.de/index.php/2011/10/06/data-restore-virus/ Einige der im Vorartikel erwähnten Registry-Einträge sind nicht vorhanden und müssen dann auch nicht gelöscht werden, einige andere haben einen anderen Wert (dadurch gesetzt, dass die versteckten Dateien angezeigt werden) und müssen dann auch nicht geändert werden.
    Update: Diese Einträge hatten sich nur im Registry-Teil des Benutzers versteckt, der sich den Virus eingefangen hatte und mussten dort entfernt werden.
  5. Zum generellen Wiederanzeigen der versteckten Dateien das Programm http://loaris.com/download/unhider.exe und zum Wiederherstellen evtl. verschobener Verknüpfungen das Programm http://loaris.com/download/restore.exe aufrufen. Vorher z.B. bei virustotal.com prüfen!
  6. Das war es.

Was wre denn in deutschland los, wenn jede/r tun knnte, was er/sie machen will in dem vortrag werden daher ghostwriter promotion jura sicher auch politische spielregeln erklrt.