Anweisungen zur Entfernung von "Hybris.B"

Von den Teilnehmern der Newsgroup alt.comp.virus
(Diese Sicherheitsseiten sind das Ergebnis einer andauernden Kooperation.)

Übersetzte Versionen verfügbar: in English, en Français and in het Nederlands

Anti-Virus Main Menu
Main Menu
Hilfsprogramm! - freundlicherweise entwickelt von Art Kopp und Robert Green
Lesen Sie bitte gründlich alle Informationen auf dieser Seite bevor Sie fortfahren. .
  *REMHYB.EXE
(**Die angenehmste Option | selbstentpackende ausführbare Datei)

  *REMHYB.zip
  (komprimiertes Archiv)		   *Enthält fünf Dateien:
  1. Findcd.bat
  2. Findcd.com
  3. Win-edit.exe
  4. Readme.txt
  5. Remhyb.bat

**REMHYB.EXE erstellt das Verzeichnis FSI und F-PROT sollte in dieses Verzeichnis entpackt werden.
REMHYB hilft bei der Säuberung des Wurms Hybris.

Bitte lesen Sie aufmerksam alle untenstehenden Anweisungen...

  1. Laden Sie das selbstentpackende Archiv REMHYB.EXE herunter (falls noch nicht geschehen), und führen Sie es aus. Die Dateien werden ins Verzeichnis C:\FSI entpackt (dies ist die Voreinstellung, aber Sie können den Namen des Verzeichnisses ändern wenn Sie möchten).
  2. Laden Sie F-PROT für DOS - f-prot.zip herunter (falls noch nicht geschehen).
  3. Entpacken Sie f-prot.zip in das FSI Verzeichnis.
  4. Starten Sie den Computer im DOS Modus. [Hinweis: einige Nutzer müssen eventuell mit Hilfe einer Windows Startdiskette den DOS Modus starten, um Unterstützung für das CD-ROM Laufwerk zu erhalten.]
Sie müssen REMHYB von *purem* DOS aus starten, nicht in einer Windows DOS Box.
Denken Sie dran, REMHYB muß im puren DOS Modus ohne Windows im Hintergrund ausgeführt werden. Nutzer von Windows ME müssen ihre Startdiskette benutzen.

So erstellen Sie eine Startdiskette unter Windows ME:
  1. Legen Sie eine formatierte Diskette ins Laufwerk ein
  2. Systemsteuerung
  3. Software, Installieren/Deinstallieren
  4. Startdiskette
  5. Diskette erstellen
Benutzer von Windows 9x sollten auch von ihrer Startdiskette booten, weil sie die Unterstützung für das CD-ROM Laufwerk benötigen könnten falls WSOCK32.DLL extrahiert werden muß. Werfen Sie auch einen Blick auf die Seite Wiederherstellung von WSOCK32.DLL. Falls bekannt ist, daß sich WSOCK32.DLL in einem CAB Archiv irgendwo anders befindet, dann können Benutzer von Windows 9x in den Kommandozeilenmodus booten indem sie beim Hochfahren die Taste F8 drücken.

Falls Sie den Computer von Diskette starten, geben Sie an der Eingabeaufforderung A:\> folgendes ein:

C:             <Eingabetaste>
CD FSI    <Eingabetaste>
REMHYB <Eingabetaste>
REMHYB benutzt WIN-EDIT.EXE, ein DOS-Programm, das für grundlegende Reparaturen von Hybris-Infektionen geschrieben wurde (z.B. die Variante Hybris.b, die eine große Spirale auf dem Bildschirm anzeigt).

WIN-EDIT wird zuerst aufgerufen. Es sucht zunächst nach allen Dateien im System-Verzeichnis, deren Name aus 8 Buchstaben gefolgt von der Erweiterung .EXE besteht. Es präsentiert diese Namen auf dem Bildschirm und der Benutzer hat die Möglichkeit verdächtig aussehende Dateien zu markieren und zu löschen, die scheinbar zufällige Buchstaben in ihrem Namen vorweisen, wie zum Beispiel ASDFGHJK.EXE

Anschließend wird die Datei WIN.INI überprüft. Falls ein verdächtiger Dateiname wie oben beschrieben in der Zeile gefunden wird, die mit load= beginnt, so wird dem Benutzer diese Textzeile auf dem Bildschirm präsentiert. Der Benutzer kann dann wählen ob das Programm diesen Text entfernen oder lassen soll. Wenn der Benutzer entscheidet, daß der Text entfernt werden soll, so wird auch die entsprechende Datei vom System-Verzeichnis gelöscht. Eine unveränderte Sicherungskopie von WIN.INI namens WIN.000 wird erstellt.

Wenn WIN-EDIT beendet wird, hat der Benutzer die Möglichkeit die bestehende Datei WSOCK32.DLL umzubenennen. Dies muß geschehen bevor eine frische WSOCK32.DLL aus einer CAB-Datei extrahiert wird. Der Benutzer sollte die Windows Installations-CD ins Laufwerk einlegen, für den Fall daß sich die benötigte CAB-Datei nur dort befindet. In manchen Fällen (Windows 95) kann es sich bei dem Installationsmedium um eine Diskette handeln.

Schließlich kann der Benutzer mit Hilfe von F-Prot das System überprüfen und desinfizieren.. Dies wird empfohlen. Wenn F-Prot fertig ist, kann sich der Benutzer die Datei HYBRIS.TXT ansehen, die während der Überprüfung angelegt wurde. Wenn Sie auf die entsprechende Frage y(es) antworten, wird der DOS Editor aufgerufen. Nutzen Sie die Pfeiltasten um den Editor zu steuern. Wenn Sie fertig sind, drücken Sie die Alt Taste, und gehen Sie dann mit den Pfeiltasten auf "Beenden". Drücken Sie anschließend die Eingabetaste.

Benutzer von Windows Millennium, beachten Sie:
Wenn Sie infizierte Dateien, die sich in _Restore\Temp oder _Restore\Archive befinden nicht reinigen oder löschen können, so... lesen Sie dies.

Falls REMHYB.BAT die Datei WSOCK32.DLL nicht aus der CAB Datei extrahieren kann, aus welchem Grund auch immer, so werfen Sie bitte einen Blick auf die Seite zur Wiederherstellung von WSOCK32.DLL.

F-PROT Antivirus. (Detaillierte Anweisungen für F-Prot für DOS befinden sich hier.)
REMHYB.EXE.
Hinweise zur Wiederherstellung von WSOCK32.DLL.


- Ende der Anweisungen -


Einige von Ihnen fragen sich jetzt vielleicht...

"Wie kann ich meinen Computer in Zukunft schützen?"

Antwort: Klicken Sie hier für einige Tips!

© Claymania Creations 2001 - 2008. Alle Rechte vorbehalten.

Rev. "G"   12.3.2001