Hallo liebe Boardmitglieder !

ich hab mir einen Trojaner gefangen, der die gleichen Symtome verursacht, wie der Nopir.A / Nopir.B. Es lassen sich keine .exe oder .com Dateien ausführen, Taskmanager ist deaktiviert, Regedit und alles weitere ebenfalls gesperrt. Habe die Festplatte an einen cleanen Rechner angeschlossen und mehrere (AntiVir,Mcaffee, KAV, Sophos, F-Prot, Norton) Virenkiller probiert -> aber keiner findet etwas!! Hier mein HiJ-log, hoffe Ihr könnt mir helfen:

Logfile of HijackThis v1.99.1
Scan saved at 11:46:02, on 05.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\~AceTemp\hijackthis[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [eBayToolbar] C:\Programme\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sysmem] C:\Program Files\system prot\mmsete.exe
O4 - HKLM\..\Run: [memory] C:\Program Files\Outlook Express.sav\outlookrem.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [UninstallAbility] "C:\Programme\UninstallAbility\uability.exe" /AUTO
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3DD4306-9417-428F-A443-87F73BCDC833}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Hi,
das hier mit HJT fixen:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
Folgende bei Jotti online scannen lassen:
C:\Program Files\system prot\mmsete.exe
O4 - HKLM\..\Run: [memory] C:\Program Files\Outlook Express.sav\outlookrem.exe
und Ergebnis posten.
cacatoa

Hallo,

wenn du eine Frage erlaubst:

Zitat:

Es lassen sich keine .exe oder .com Dateien ausführen,

Wie hast du dann HjT zum laufen gebracht (C:\*gekürzt*\HijackThis.exe)?


Überprüfe die folgenden Dateien online bei http://virusscan.jotti.org/de und poste das Ergebnis.

Zitat:

C:\Program Files\system prot\mmsete.exe
C:\Program Files\Outlook Express.sav\outlookrem.exe

btw: fixe den O7-Eintrag, dann dürftest du die Registry wieder aufrufen können.


EDIT:
Hi cacatoa!

Wow, danke für die schnelle Antwort !!!

Berechtigte Frage: Hat mich selbst gewundert ! Es ging nichts, konnte nichtmal Escan entpacken..! Ich konnte den "Arbeitsplatz" anklicken und so eine Internetadresse eingeben und kam nur so ins Web. Vielleicht weil ich HJT neu runtergeladen habe !?!?

Was mich viel mehr wundert ist, dass ich jetzt plötzlich wieder alle Dateien starten kann!! Habe nichts geändert!! Habe dann diesen Eintrag mit HJT gefixt -> Regedit funktioniert wieder *applaus* !

Der Taskmanager funktioniert aber immer noch nicht ("Der Taskmanager wurde durch den Administrator deaktiviert").

Die Dateinen und Verzeichnisse existieren nicht:
C:\Program Files\system prot\mmsete.exe
C:\Program Files\Outlook Express.sav\outlookrem.exe

Habe die Datei gescannt, mit der ich mir den Trojaner gefangen hab:

Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
Bitte warten...

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan.Win32.VB.xz gefunden
mks_vir
Win32.4 gefunden (mögliche Variante)
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Trojan.Win32.VB.xz gefunden

Lässt du dir auch alle Dateien anzeigen?
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


Navigiere in der Registry zum Schlüssel HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System und lösche den Eintrag 'DisableTaskmgr'.

Zitat:

Trojan.Win32.VB.xz gefunden

Das ist ein sehr neuer Schädling, zu dem sich leider noch keine weiteren Infos finden lassen.
Evtl. interessiert dich trotzdem dieser Thread.
=> Ich kann nichts zum Schadpotential sagen. Nur soviel: ich würde das System neu aufsetzen.

Hallo,

ja, lasse mir alle Dateinen anzeigen. Habe auch nach den Dateien gesucht -> nichts gefunden !

Ich werde mal beobachten, wies mit dem Virus weiter geht. Hoffe ich muss das System nicht neu aufsetzen, wäre sehr viel Arbeit !

Ich danke euch jedenfalls für eure super Hilfe !!!

MfG,

wiwnet

@ haui:
Erstmal servus!
Dann full ack.
@ wiwnet
Neuaufsetzen geht meist viel schneller, als stundenlang zu bereinigen und dann nicht zu wissen, ob das System wirklich sauber ist....
cacatoa

Hallo,

musste leider feststellen, dass auch die Systemsteuerung deaktiviert ist. Müsste auch ein Eintrag in der Registry sein, hat jmd. ein Tip ?? Kann den Trojaner (..und seine Folgen..) nicht auch ein Virenkiller beseitigen ?

MfG,

wiwnet

Zitat:

Zitat von wiwnet

Kann den Trojaner (..und seine Folgen..) nicht auch ein Virenkiller beseitigen ?

Wie gesagt, es ist ein ganz neuer Trojaner, den kaum ein AV kennt. Wie soll er also beseitig werden?

Zitat:

Müsste auch ein Eintrag in der Registry sein, hat jmd. ein Tip ??

Evtl. hilft das _> http://www.administrator.de/Wie_kann...ktivieren.html
Wird aber erst nach einem Neustart wirksam.

Hallo,

Virus wird seit heute von AntiVir erkannt! Habe etwas zum Bereinigen des Systems gefunden, was bei mir funktioniert hat:

When W32.Nopir.C (= Trojan.Win32.VB.xz) is executed, it performs the following actions:

1. Copies itself to the system as:

C:\Program Files\system prot\mmsete.exe
C:\Program Files\Outlook Express.sav\outlookrem.exe
2. It then attempts to place itself in the standard share directories (if they exist) for certain peer to peer applications by copying itself as the following:

C:\Program Files\eMule\Incoming\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\Kazaa\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\StreamCast\Morpheus\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\Gnucleus\Downloads\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
3. Next, the worm creates the following registry entries so that it is executed every time Windows starts:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"sysmem" = "C:\Program Files\system prot\mmsete.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"memory" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
4. The worm may attempt to create or modify the following registry keys:

HKEY_CLASSES_ROOT\exefile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\batfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\cmdfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\comfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\piffile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\vbsfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\vbefile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\scrfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\regfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\inffile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
5. The worm also modifies the settings in Windows to disable Task Manager, registry tools, Windows Firewall, Windows Update and access to Control Panel by adding the following registry entries:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoControlPanel" = "1"
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"EnableFirewall" = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\"EnableFirewall" = "0"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\"AUOptions" = "0"
6. Next, the worm displays an anti-piracy image.
7. The worm deletes all .MP3, .AVI, .MPG, .MPEG and .RAR files from the compromised computer.
8. The worm will search for and attempt to disable any debugging programs found on the compromised computer.

Hallo Leute,

bin neu hier und wie es leider so ist habe ich dasselbe Problem.
Laut Recherchen im www gibt es ne inf(symantec) bzw. vbs(Trend) script um die registry-blockade zu umgehen.
Aber ich bekomms einfach nicht hin!!! Habt ihr vielleicht noch ne Lösung oder nen guten Rat???

Vielen Dank

RobbeSFB

Kannst du dich auch vernünftig ausdrücken?
Kleiner Tipp:
Definiere dein Problem genau, so das jeder was damit anfangen kann.Zeige auf, was dein Ziel bei der Problemlösung ist.

@cronos

hoffe du hast mich gemeint???

Folgendes problem: lt. scans habe/hatte ich den nopir.c wurm oben.
der bei mir alles blockiert. Bei jedem Systemstart will er sich laden(kann er ja nicht mehr da er gelöscht wurde) lt. den Informationen von symatec bzw. trend blockiert er die registry um irgendwelche änderungen verhindern zu wollen. Beim ausführen relevanter programme sagt er kann Program.exe nicht finden. Auf den Hompages der Spezies (sym./treend) wurde eine ???.inf bzw. ???vbs script geschrieben. Diese sollte man auf den infizierten rechner ausführen(hoffe habe es richtig verstanden) aber er bringt die fehlermeldung kann program.exe nicht finden. Diese scripte dienen dazu, das die registry freigeschalten wird um diesen Wurm zu löschen. Nun die Frage hat jemand dasselbe problem wie ich, wer kann weiterhelfen????

Danke euch

RobbeSFB

Habe auch Deine Probleme, aber mit einer neueren Variante von dem Nopir-Wurm. Gestern eingefangen, bis heute gehen die Scanner von
McAffee, Trendmicro, AVG und Kaspersky drüber und bescheinigen mir ein
virenfreies System.

Wie verhält man sich denn in so einem Fall? Meldet man eine neue Variante irgendwo hin, wohin, wie?

Runterkriegen scheitert bisher händisch, hat sich wohl in einigen Punkten gegenüber den nopir.c veränert.

thx, sculder

@sculder_3

du kannst die Datei (Siehe meine Signatur: Dateien kostenlos auf Malware prüfen) dort hochladen, beende aber vorher den Prozess (Falls geladen) du bekommst dann per eMail den Befund und wenn es sich um neue Malware handelt geht das auch zu den AV Herstellern