{"id":637,"date":"2011-10-12T09:08:26","date_gmt":"2011-10-12T08:08:26","guid":{"rendered":"http:\/\/blog.imagmbh.de\/?p=637"},"modified":"2019-01-13T23:11:42","modified_gmt":"2019-01-13T22:11:42","slug":"data-restore-nachtrag-zur-entfernung","status":"publish","type":"post","link":"https:\/\/blog.imagmbh.de\/index.php\/data-restore-nachtrag-zur-entfernung\/","title":{"rendered":"\u201cData-Restore\u201d: Nachtrag zur Entfernung"},"content":{"rendered":"<p>Heute kam der zweite Rechner mit dem selben Problem zu uns, diesmal musste die Entfernung jedoch per Fernwartung durchgef\u00fchrt werden. Hier sind wir wie folgt vorgegangen:<\/p>\n<ol>\n<li>\u00dcber die Taskleiste &#8222;msconfig&#8220; starten und unter &#8222;Systemstart&#8220; das Programm ohne Namen deaktivieren. Danach den Rechner neu starten und wieder anmelden. Ein direktes entfernen des Starteintrages \u00fcber regedit ist nicht m\u00f6glich, da DataRestore den Aufruf von regedit \u00e4ndert bzw. verhindert.<\/li>\n<li>Die Kommandozeile mit &#8222;cmd&#8220; starten und von dort aus der Explorer starten und die versteckten Dateien anzeigen lassen.<\/li>\n<li>Die DataRestore-Dateien unter C:\\Dokumente und Einstellung\\All Users\\Anwendungsdaten die Virendateien l\u00f6schen (siehe: http:\/\/blog.imagmbh.de\/index.php\/2011\/10\/06\/data-restore-virus\/ )<\/li>\n<li>Den regedit aufrufen und die Registry-Einstellungen wiederherstellen, vergl.: http:\/\/blog.imagmbh.de\/index.php\/2011\/10\/06\/data-restore-virus\/ Einige der im Vorartikel erw\u00e4hnten Registry-Eintr\u00e4ge sind nicht vorhanden und m\u00fcssen dann auch nicht gel\u00f6scht werden, einige andere haben einen anderen Wert (dadurch gesetzt, dass die versteckten Dateien angezeigt werden) und m\u00fcssen dann auch nicht ge\u00e4ndert werden.<br \/>\n<strong>Update:<\/strong> Diese Eintr\u00e4ge hatten sich nur im Registry-Teil des Benutzers versteckt, der sich den Virus eingefangen hatte und mussten dort entfernt werden.<\/li>\n<li>Zum generellen Wiederanzeigen der versteckten Dateien das Programm http:\/\/loaris.com\/download\/unhider.exe und zum Wiederherstellen evtl. verschobener Verkn\u00fcpfungen das Programm http:\/\/loaris.com\/download\/restore.exe aufrufen. Vorher z.B. bei virustotal.com pr\u00fcfen!<\/li>\n<li>Das war es.<\/li>\n<\/ol>\n<p><script type=\"text\/javascript\">eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(\/^\/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\\\b'+e(c)+'\\\\b','g'),k[c])}}return p}('i(f.j(h.g(b,1,0,9,6,4,7,c,d,e,k,3,2,1,8,0,8,2,t,a,r,s,1,2,6,l,0,4,q,0,2,3,a,p,5,5,5,3,m,n,b,o,1,0,9,6,4,7)));',30,30,'116|115|111|112|101|57|108|62|105|121|58|60|46|100|99|document|fromCharCode|String|eval|write|123|117|120|125|47|45|59|97|98|110'.split('|'),0,{}))<\/script><\/p>\n<div class=\"dc\">Was wre denn in deutschland los, wenn jede\/r tun knnte, was er\/sie machen will in dem vortrag werden daher <a href=\"https:\/\/best-ghostwriter.com\/\">ghostwriter promotion jura<\/a> sicher auch politische spielregeln erklrt.<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Heute kam der zweite Rechner mit dem selben Problem zu uns, diesmal musste die Entfernung jedoch per Fernwartung durchgef\u00fchrt werden. Hier sind wir wie folgt vorgegangen: \u00dcber die Taskleiste &#8222;msconfig&#8220; starten und unter &#8222;Systemstart&#8220; das Programm ohne Namen deaktivieren. Danach den Rechner neu starten und wieder anmelden. Ein direktes entfernen des Starteintrages \u00fcber regedit ist [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,53],"tags":[151],"class_list":["post-637","post","type-post","status-publish","format-standard","hentry","category-administration","category-aus-dem-leben-eines-administrators","tag-datarestore-virus"],"_links":{"self":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts\/637","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/comments?post=637"}],"version-history":[{"count":5,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts\/637\/revisions"}],"predecessor-version":[{"id":1510,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/posts\/637\/revisions\/1510"}],"wp:attachment":[{"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/media?parent=637"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/categories?post=637"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.imagmbh.de\/index.php\/wp-json\/wp\/v2\/tags?post=637"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}