Hur får man bort brons virus manuellt?

Manuell borttagning steg: koppla från datorn från nätverket och inaktivera filen sharings, om någon.
Inaktivera systemåterställning (för Windows XP/Windows mig bara).
För Windows XP:
Klicka på Start.
Högerklicka på min dator och klicka sedan på egenskaper.
Klicka på fliken Systemåterställning.
Markera kryssrutan "Inaktivera systemåterställning på alla enheter" eller "Stänga av Systemåterställning". Starta datorn i felsäkert läge.
Hur du startar en dator i felsäkert läge, pls hänvisa till: http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406?OpenDocument&src=sec_doc_nam
Uppdatera ditt antivirusprogram med de senaste signaturfilerna och skanna din dator med anti-virus upptäcka masken och ta bort alla filer som upptäcks som masken genom att klicka på knappen Ta bort.
Ta bort värdet i registret.
Du måste säkerhetskopiera registret innan du gör några ändringar i den. I rätt ändringar i registret kan resultera i permanent dataförlust eller skadade filer. Ändra de angivna undernycklarna bara.
Hur man gör en säkerhetskopia av Windows-registret, pls hänvisa på: http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/199762382617?OpenDocument&src=sec_doc_nam
Klicka på Start > Kör. Skriv regedit Klicka på OK.
Obs: Om Registereditorn inte öppna hot kan ha ändrat registret för att förhindra åtkomst till Registereditorn. Du kan använde ett verktyg för att lösa problemet.
Hämta verktyget. En gång dataöverföring, högerklicka på den UnHookExec.inf filen och klicka Installera. Sedan fortsätta med borttagning steg. http://securityresponse.Symantec.com/avcenter/venc/data/Tool.to.Reset.shellopencommand.Registry.Keys.html
Andra alternativa sätt att aktivera registret, se: http://www.patheticcockroach.com/mpam4/index.php?p=28
Undernyckeln som hittades av den mot-viruset och ta bort värdet.
Avsluta Registereditorn.
Om du fortfarande inte kan öppna din registren, kan du prova följande steg.
Starta upp den infektera datorn, men inte logga in på servern, lämna den på login prompt.
Starta upp en annan ren dator, mask utan dator som har ett uppdaterat antivirusprogram körs och en aktiv brandvägg hindrar alla inkommande anslutningar.
Från en ren dator, starta REGEDIT. EXE och klicka på fil-> fil-> Anslut nätverksregister. Anslut till den infektera datorn.
Ändra följande värden i HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\NT\CurrentVersion\Winlogon till följande värden:
 € œUSERINIT†= "C:\WINNT\system32\userinit.exe," "Skal" = "Explorer.exe"
(kontrollera att du anger rätt sökväg till där Windows är installerat. För exempel på NT 4.0 är det WINNT)
När du har slutfört stegen ovan, starta den infektera datorn.
Med hjälp av ren datorn, karta C$ andel och Skanna den med den uppdatera anti-virus för att ta bort infekterade filer på den infektera datorn. Då bör du kunna starta upp datorn och följ sedan stegen 6 - steg 11.
Kör en full system scan med hjälp av en uppdaterad version av antivirusprogram och ta bort alla filer som upptäcks som mask.
Hämta och kör en process management verktyg eller process viewer att döda alla mask processer som körs på den infektera datorn. Det process verktyget eller process viewer finns enligt maskinens plattform och kan laddas ner gratis från Internet. Till exempel användare kan hämta och använda den följande process viewer: http://www.sysinternals.com/Utilities/ProcessExplorer.HTML
Ta bort schemalagda aktiviteter läggas av masken. Klicka på Start och sedan på Kontrollpanelen. (I Windows XP, växla till klassisk vy.) I fönstret Kontrollpanelen, dubbelklicka på schemalagda aktiviteter. Rätt klick den arbetsuppgift ikonen och välj Egenskaper på snabbmenyn. Egenskaper för aktiviteten visas. Ta bort uppgiften om innehållet i textrutan kör i åtgärdsfönstret matchar masken.
Aktivera Systemåterställning (för Windows XP/Windows mig bara).
Skanna din dator med en uppdaterad version av anti-virus att bekräfta att datorn är ren.
Återanslut datorn till nätverket en gång bekräftat ren.

FÖRBÄTTRAD svar med länkar till verktyg (löste av SENIOR det system ADMIN) av: Ian Gardiner

Brons Virus Manuell borttagning instruktioner

  1. Koppla bort datorn från nätverket och inaktivera filen sharings, om sådana finns på datorn.
  2. Inaktivera systemåterställning (för Windows XP/Windows mig bara).

För Windows XP:

  1. Klicka på starta.
  2. Högerklicka på Min datoroch klicka sedan på Egenskaper.
  3. Klicka på fliken Systemåterställning .
  4. Markera kryssrutan Inaktivera systemåterställning eller Inaktivera systemåterställning på alla enheter .
  1. Starta datorn i felsäkert läge. Starta om och tryck på F8 flera gånger. Om du inte kan starta i felsäkert läge, du bör fortfarande kunna bli av med viruset, felsäkert läge rekommenderas dock.
  2. Uppdatera antivirusprogrammet för senaste uppdateringar.
  3. Du kommer att behöva använda regedit funktionen för att ta bort en massa infekterade/nyinrättade värden i registret.
  4. Klicka på börja > kör. Skriv regedit, klicka på OK.
    1. Du måste använda Internet Explorer för att hämta den här filen.
    2. Gå till http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99 och hämta den UnHookExec.inf filen längst ner på sidan. (du kommer behöva hämta den här filen på en annan dator och spara den på en enhet och flytta det till den infektera datorn)
    3. När du har lagt denna fil på den infekterade datorn skrivbordet, högerklicka på filen och klicka installera. Du kommer inte riktigt märker något hända, men detta kommer att aktivera funktionen regedit.
  5. Om den registry redaktören inte öppna, kan hotet ha ändrat i registret för att förhindra det från att öppnas. Du kan använda ett verktyg för att lösa problemet:
  6. En gång du kan använda den regedit funktion checken till se om det finns en schemalagd aktivitet som heter A1 eller något i den stilen (schemalagt för att köras på 5:08) i alla Programs\Accessories\System Tools\Scheduled uppgifter. Om du inte kan nå plats försök: kontroll Pannel i klassiskt läge och leta efter mappen Schemalagda aktiviteter ikon /. Ta bort aktiviteten.
    1. Verktyget kan också hittas på: http://www.kaer-media.org/penawar-brontok/Download.htm
  7. Nästa, innan vi går vidare och ta bort något i registret. Du kommer att behöva använda denna tyska Brontok Removal tool
  8. Klicka på länken som säger: PenawarB.exe och spara filen.
    1. Dubbelklicka på filen, klicka på kör
    2. Klicka på knappen i det nedre högra hörnet: Percubaan Percuma!
    3. På nästa skärm klickar du på knappen till vänster som säger: Tidak mengapa, saya hendak Kuba dahulu...
    4. På nästa skärm klickar du på knappen som säger: Skanna sekarang!
    5. När verktyget har körts visas platsen för alla infekterade filer
    6. Klicka på knappen som säger: Buang! & reparation ta bort infekterade filer
    7. Obs: Detta verktyg är gratis så när du klickar på reparation raderas alla filer utom 10 av dem. För de återstående 10 kommer ni att ta inte av de infekterade filerna platser och ta bort dem manuellt. Också, om det finns mindre än 10 filer som smittade till att börja med måste manuellt ta bort dem alla.
  9. När filen har sparats på den infekterade datorn skrivbord
  10. När detta är gjort enligt anvisningarna nedan på ta bort alla andra filer och registervärden. Detta steg är mycket viktig och avgörande för den slutliga borttagningen av viruset!

Masken kan använda olika metoder för att köra automatiskt varje gång Windows startar. Automatiska start metoder som masken sysselsätter kan omfatta:

  • Placera en kopia av sig själv i användarens Autostart-mappen, dvs %homepath%\Start Menu\Programs\Startup\Empty.pif. Ta bort filen.
  • Lägga till en schemalagd aktivitet för att köra %homepath%\Templates\A.kotnorB.com varje dag kl 5:08. Kontrollera också om det finns en schemalagd aktivitet som heter A1 eller något i den stilen i alla Programs\Accessories\System Tools\Scheduled uppgifter. Om du inte kan nå plats försök: kontroll Pannel i klassiskt läge och leta efter mappen Schemalagda aktiviteter ikon /. Ta bort aktiviteten.
  • Lägga till ett registervärde: "Tok-Cirrhatus"

Med data:
I undernyckeln: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Bort nyckeln.

  • Du lägger till registervärdet: "Bron-Spizaetus"

med data:
i undernyckeln: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run bort nyckeln.

  • Du lägger till registervärdet: Shell
    med data: "explorer.exe"

i registerundernyckel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon. Bort nyckeln.

  • Ändrar registren värde: AlternateShell
    med data:
    i registren subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Obs: standardinställningen för denna nyckel är "AlternateShell"="cmd.exe"

Win32/brons får försöka sänka säkerhetsinställningarna genom att göra följande ändringar:

  • Hindrar användaren från att komma åt Registereditorn genom att göra följande register redigera:

Tillför värde: DisableRegistryTools
Med data: 1
I undernyckeln: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System. Ändra Data till 0.

  • Förhindrar visning av filer och mappar med "dolda" attribut:

Tillför värde: dolda
Med data: 0
I undernyckeln: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced\\\\\. Ändrar till 1.

  • Förhindrar att Windows systemfiler visas:

Tillför värde: ShowSuperHidden
Med data: 0
I undernyckeln: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced\\\\\. Ändrar till 1.

  • Förhindrar visningen av körbar fil filtillägg:

Tillför värde: HideFileExt
Med data: 1
I undernyckeln: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced\\\\\. Ändra Data till 0.

  • Förhindrar tillgång till Mappalternativ-menyn:

Tillför värde: NoFolderOptions
Med data: 1
I undernyckeln: HKEY_CURRENT_USER. Ändra Data till 0.

  • Ändrar Windows HOSTS-filen för att förhindra åtkomst till vissa webbplatser på Internet, varav flesta är antivirus eller säkerhetsrelaterade.
  • Försök pinga angrepp mot vissa webbplatser, förmodligen för att starta en form av denial of service (DoS)-attack.
  • Avslutar program eller startar om Windows när titeln på det aktiva fönstret innehåller vissa strängar, varav många kan vara företrädare för antivirus eller system verktyg som normalt används för att identifiera eller ta bort masken.
  • Skriver över filen autoexec.bat med ordet "paus", orsakar system som använder filen autoexec.bat att pausa på stöveln. Vissa varianter av Win32/brons ändra autoexec.bat för att visa ett meddelande under stöveln.
  1. Du kommer också vill gå in msconfig. Starta > kör, skriv msconfig. Och inaktivera alla startobjekt (under fliken Autostart) som ser misstänkta; Du kan behöva köra en sökning på internet för att avgöra vilka är normala processer och som kan vara ett hot.

    1. se till att den schemalagda aktiviteten inte längre finns
    2. se till att du kan öppna regedit
    3. nytt köra skannern för infekterade filer. Om den hittar något bort dem, starta om datorn och kör sedan skannern och ta bort filer tills ingenting dyker upp igen.
    4. Kontrollera registret är tillbaka till det normala och att du kan visa dolda filer och mappar.
  2. När detta har skett, starta om datorn och kolla över allt i följande ordning: