Falsk Antivirus Rootkit fjernet / Fake Antivirus Rootkit removed
Dansk først – Engelsk nedenunder / Danish first – English below
Igår var jeg ude hos en ven der havde fået en virusadvarsel som det første der ses på skæmen når computeren startede. Selv i opstarten i Fejlsikret tilstand dukker advarslen op. Advarslen beder om Kreditkort informationer for at frigøre computeren. Det er i sig selv et stærkt tegn på at Advarslen i sig selv er en virus og også her var dette tilfældet. AV8 hedder denne virus og da den starter op i både Normal og Fejlsikret tilstand er der tale om et Rootkit virus – Et af den værste slags. Jeg finder ud af at Programmet som er Virus er en fil der hedder AV8.EXE – OK – Filen kan stoppes og fjernes men dette er ikke nok. Man skal have startet Registreringsdatabasen for den har gravet sig godt ind i systemet. I registreringsdatabasen skal man (efter at have stoppet selve programmet) søge efter av8.exe og fjerne alle referencer til programmet. – En af disse referencer er explorer=”…\av8.exe -d” (der er noget foran av8.exe i linien.) Hele linien skal fjernes og linien inde i nøglen Run skal fjernes – Bliv ved med at søge indtil alle instanser af av8.exe er fjernet og luk derefter Registreringsdatabasen. Derpå skal Mappen filen(filerne) ligger i fjernes og til sidst skal Mappen AV8 der refereres til i Start – Alle programmer fjernes. Efter dette og Registreringsdatabasen er gemt med de nye informationer skal computeren lukkes (til slukket tilstand) og bagefter kan den startes som normalt.
English version:
Yesterday I was visiting a friend who had a virus warning as the first thing on the screen when the computer started. Even in the start of Safe mode the warning shows up. The warning asks about credit card information in order to release the computer from viruses. That in itself is a strong sign that the warning itself is a virus it was true in this case also. AV8 is the name of this virus and as it starts in both Normal and Safe mode it can be classified as a Rotkit Virus – One of the worst kind. I find out that the Program that is a Virus is a file named AV8.EXE – OK – The file can be stopped and removed but that in itself is not enough. You need to start The Registration database because it has digged itself deep into the system. In the registration database (after you have stopped the program itself) you search for all references to av8.exe and remove them. – One of these references are explorer=”…\av8.exe -d” (there is something in front of av8.exe in the line.) The entire line is to be removed and also remove the line in the key Run. Keep searching untiol there are no more instances of av8.exe and close Registration editor. Then you Delete the entire folder where AV8.EXE is in and finally the folder referencing AV8 in Start All Programs is to be removed too. After all this Close the computer (power off) and you can start the copmputer as normal again.
Med venlig hilsen / Regards
Heinrich (OlFred) Christiansen
