Hallo Leute,

um wen es geht, steht im Betreff. Mein Problem ist nun: Ich habe ihn...

Normalerweise habe ich ja computertechnisch keine 2 Linken Hände aber heute habe ich es doch geschafft. Dieser Trojaner wird laut www.virustotal.com aktuell (19.50 Uhr) gerade mal von Kaspersky und von Sybari gefunden. Alle anderen (incl. Bitdefender, NOD32 [meiner, leider], Symantec [klar], etc...) finden den Trojaner nicht!

Ich kann nicht genau sagen, was er macht. Ein Symptom ist bei mir auf dem Rechner, dass ich keine exe-Datei mehr ausführen kann (klingt unlogisch ich weis). Jedesmal wenn ich auf ein Programm klicke, dann fragt wer mich, mit was ich das Programm öffnen soll ("Öffnen mit..."). Ich denke mal, er biegt in der registry die CLASS Sektion um, aber keine Ahnung.

Ich brauche aber jetzt unbedingt HILFE!!!!!

Wie kann ich den Feund loswerden? Wie bekomme ich meine EXE wieder zum Laufen? Danke schonmal!

@Knappo
poste ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

chaosman

Hallo,

das HJT Logfile hätte dir nichts gesagt, außer dass der Virus sich selbst beim Systemstart startet. Ich habe es geschafft eine .reg Datei zu basteln, die mir meine EXE wieder startbar machte. Daraufhin konnte ich dann nach dem löschen des Virus die Systemwiederherstellung anstoßen. Danke aber für deine Hilfe!

Hallo,

Virus wird seit heute von AntiVir erkannt! Habe etwas zum Bereinigen des Systems gefunden, was bei mir funktioniert hat:

When W32.Nopir.C (= Trojan.Win32.VB.xz) is executed, it performs the following actions:

1. Copies itself to the system as:

C:\Program Files\system prot\mmsete.exe
C:\Program Files\Outlook Express.sav\outlookrem.exe
2. It then attempts to place itself in the standard share directories (if they exist) for certain peer to peer applications by copying itself as the following:

C:\Program Files\eMule\Incoming\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\Kazaa\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\StreamCast\Morpheus\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\Gnucleus\Downloads\CloneDVD.v2.8.2.1.Cracked -RES.by.Grease.exe
3. Next, the worm creates the following registry entries so that it is executed every time Windows starts:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"sysmem" = "C:\Program Files\system prot\mmsete.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"memory" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
4. The worm may attempt to create or modify the following registry keys:

HKEY_CLASSES_ROOT\exefile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\batfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\cmdfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\comfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\piffile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\vbsfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\vbefile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\scrfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\regfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\inffile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
5. The worm also modifies the settings in Windows to disable Task Manager, registry tools, Windows Firewall, Windows Update and access to Control Panel by adding the following registry entries:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoControlPanel" = "1"
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\"EnableFirewall" = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\"EnableFirewall" = "0"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\WindowsUpdate\Auto Update\"AUOptions" = "0"
6. Next, the worm displays an anti-piracy image.
7. The worm deletes all .MP3, .AVI, .MPG, .MPEG and .RAR files from the compromised computer.
8. The worm will search for and attempt to disable any debugging programs found on the compromised computer.

Hallo wiwnet,

eine Quellenangabe würde sich unter der Beschreibung nicht schlecht machen...

Mal ne doofe Frage. Wie soll man die Änderungen in der Registry wieder rückgangig machen? Exe und Reg-Dateien sind nicht ausführbar. Kann man HKEY_CLASSES_ROOT auf einem anderen Betriebssystem mounten. Ich habe nur gefunden wie man das mit HKEY_LOCAL_M und CURRENT_USER macht.

Danke & Gruß
BigK