Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Ein neuer Freund: Trojan.Win32.VB.xz

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.06.2005, 19:55   #1
Knappo
 
Ein neuer Freund: Trojan.Win32.VB.xz - Standard

Ein neuer Freund: Trojan.Win32.VB.xz



Hallo Leute,

um wen es geht, steht im Betreff. Mein Problem ist nun: Ich habe ihn...

Normalerweise habe ich ja computertechnisch keine 2 Linken Hände aber heute habe ich es doch geschafft. Dieser Trojaner wird laut www.virustotal.com aktuell (19.50 Uhr) gerade mal von Kaspersky und von Sybari gefunden. Alle anderen (incl. Bitdefender, NOD32 [meiner, leider], Symantec [klar], etc...) finden den Trojaner nicht!

Ich kann nicht genau sagen, was er macht. Ein Symptom ist bei mir auf dem Rechner, dass ich keine exe-Datei mehr ausführen kann (klingt unlogisch ich weis). Jedesmal wenn ich auf ein Programm klicke, dann fragt wer mich, mit was ich das Programm öffnen soll ("Öffnen mit..."). Ich denke mal, er biegt in der registry die CLASS Sektion um, aber keine Ahnung.

Ich brauche aber jetzt unbedingt HILFE!!!!!

Wie kann ich den Feund loswerden? Wie bekomme ich meine EXE wieder zum Laufen? Danke schonmal!

Alt 04.06.2005, 20:55   #2
chaosman
 
Ein neuer Freund: Trojan.Win32.VB.xz - Standard

Ein neuer Freund: Trojan.Win32.VB.xz



@Knappo
poste ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

chaosman
__________________

__________________

Alt 05.06.2005, 13:28   #3
Knappo
 
Ein neuer Freund: Trojan.Win32.VB.xz - Standard

Ein neuer Freund: Trojan.Win32.VB.xz



Hallo,

das HJT Logfile hätte dir nichts gesagt, außer dass der Virus sich selbst beim Systemstart startet. Ich habe es geschafft eine .reg Datei zu basteln, die mir meine EXE wieder startbar machte. Daraufhin konnte ich dann nach dem löschen des Virus die Systemwiederherstellung anstoßen. Danke aber für deine Hilfe!
__________________

Alt 06.06.2005, 18:23   #4
wiwnet
 
Ein neuer Freund: Trojan.Win32.VB.xz - Standard

Ein neuer Freund: Trojan.Win32.VB.xz



Hallo,

Virus wird seit heute von AntiVir erkannt! Habe etwas zum Bereinigen des Systems gefunden, was bei mir funktioniert hat:

When W32.Nopir.C (= Trojan.Win32.VB.xz) is executed, it performs the following actions:

1. Copies itself to the system as:

C:\Program Files\system prot\mmsete.exe
C:\Program Files\Outlook Express.sav\outlookrem.exe
2. It then attempts to place itself in the standard share directories (if they exist) for certain peer to peer applications by copying itself as the following:

C:\Program Files\eMule\Incoming\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\Kazaa\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\StreamCast\Morpheus\My Shared Folder\CloneDVD.v2.8.2.1.Cracked-RES.by.Grease.exe
C:\Program Files\Gnucleus\Downloads\CloneDVD.v2.8.2.1.Cracked -RES.by.Grease.exe
3. Next, the worm creates the following registry entries so that it is executed every time Windows starts:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"sysmem" = "C:\Program Files\system prot\mmsete.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"memory" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
4. The worm may attempt to create or modify the following registry keys:

HKEY_CLASSES_ROOT\exefile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\batfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\cmdfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\comfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\piffile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\vbsfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\vbefile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\scrfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\regfile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
HKEY_CLASSES_ROOT\inffile\shell\open\command\"(Default)" = "C:\Program Files\Outlook Express.sav\outlookrem.exe"
5. The worm also modifies the settings in Windows to disable Task Manager, registry tools, Windows Firewall, Windows Update and access to Control Panel by adding the following registry entries:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoControlPanel" = "1"
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\"EnableFirewall" = "0"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\"EnableFirewall" = "0"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\WindowsUpdate\Auto Update\"AUOptions" = "0"
6. Next, the worm displays an anti-piracy image.
7. The worm deletes all .MP3, .AVI, .MPG, .MPEG and .RAR files from the compromised computer.
8. The worm will search for and attempt to disable any debugging programs found on the compromised computer.

Alt 06.06.2005, 19:28   #5
Cidre
Administrator, a.D.
 
Ein neuer Freund: Trojan.Win32.VB.xz - Standard

Ein neuer Freund: Trojan.Win32.VB.xz



Hallo wiwnet,

eine Quellenangabe würde sich unter der Beschreibung nicht schlecht machen...

__________________
Gruß, Cidre


Alt 08.06.2005, 23:41   #6
BigK
 
Ein neuer Freund: Trojan.Win32.VB.xz - Standard

Ein neuer Freund: Trojan.Win32.VB.xz



Mal ne doofe Frage. Wie soll man die Änderungen in der Registry wieder rückgangig machen? Exe und Reg-Dateien sind nicht ausführbar. Kann man HKEY_CLASSES_ROOT auf einem anderen Betriebssystem mounten. Ich habe nur gefunden wie man das mit HKEY_LOCAL_M und CURRENT_USER macht.

Danke & Gruß
BigK

Antwort

Themen zu Ein neuer Freund: Trojan.Win32.VB.xz
anderen, bitdefender, brauche, computer, danke, defender, exe-datei, freund, heute, hilfe!, hilfe!!, hilfe!!!, kaspersky, klicke, laufen, leute, loswerden, neuer, nod32, problem, programm, rechner, registry, schonmal, symantec, trojaner, unbedingt, öffnen



Ähnliche Themen: Ein neuer Freund: Trojan.Win32.VB.xz


  1. 2 Trojaner eingefangen durch E-Mail-Anhänge // Trojan-Banker.Win32.Agent.ubo und Trojan.Win32.Yakes.ghny
    Log-Analyse und Auswertung - 19.07.2015 (28)
  2. Win32:Malware-gen und Trojan.Win32.WinloadSDA.dewcdw und PUA.Win32.Packer.Upx-28 - falsch positive Meldungen?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2014 (1)
  3. ZoneArlarm scan ergab u.a. HEUR:Trojan.Win32.Generic , Trojan.Win32.Agent.aeqtk
    Log-Analyse und Auswertung - 11.02.2014 (9)
  4. Kaspersky findet Backdoor.Win32.Zaccess, Trojan-Ransom.Win32.Gimeno, Trojan.Win32.Inject
    Log-Analyse und Auswertung - 01.02.2014 (17)
  5. Windows 8.1: Trojan:Win32/Meredrop, Trojan:Win32/Malagent, Trojan:Win32/Matsnu.L und Worm:Win32/Ainslot.A
    Log-Analyse und Auswertung - 19.01.2014 (5)
  6. Desinfizierung durch Kaspersky nicht möglich: Trojan.Win32.Bromngr.k, HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.MultiDL.I
    Plagegeister aller Art und deren Bekämpfung - 28.11.2013 (1)
  7. Verschlüsselungs-Trojaner: Trojan.Win32.Yakes.bshd, Trojan.Win32.Bublik.abyj
    Plagegeister aller Art und deren Bekämpfung - 25.01.2013 (1)
  8. Win32/Kryptik.AOOB trojan / Win32/Ponmocup.AA trojan entfernen ?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2012 (7)
  9. Virenfund: Trojan.Win32.zapchast.acwq und Trojan.Win32.small.bmrh
    Plagegeister aller Art und deren Bekämpfung - 17.08.2012 (27)
  10. Trojan:Win32/Win64/Sirefef; Trojan:Win32/Conedex und Trojandropper:Win32/Sirefef
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (11)
  11. Trojaner: Trojan-PSW.Win32.Coced.219 sowie Trojan-BNK.Win32.Keylogger.gen
    Log-Analyse und Auswertung - 24.01.2012 (42)
  12. Trojan:Win32/Alureon.FL | PWS:Win32/Fareit.A | Trojan:Win32/Sirefef.P....Auch MBR infiziert?
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (7)
  13. Mehrere Viren u.a. Trojan-Dropper.Win32.FrauDrop.bdq, Trojan.Win32.Generic
    Log-Analyse und Auswertung - 13.09.2010 (5)
  14. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  15. Trojan-Spy.Win32.Pophot.gzv / Trojan.Win32.Buzus.alwl / Virus.Win32.Virut.ce
    Plagegeister aller Art und deren Bekämpfung - 19.02.2009 (1)
  16. neuer oder alter Win32:Trojan-gen. (Other)
    Plagegeister aller Art und deren Bekämpfung - 09.10.2008 (2)
  17. brauch hilfe bei: Win32/Oleloa.gen!, Trojan.Win32.Golid.g, Trojan.Win32.Small.ev
    Plagegeister aller Art und deren Bekämpfung - 29.11.2005 (1)

Zum Thema Ein neuer Freund: Trojan.Win32.VB.xz - Hallo Leute, um wen es geht, steht im Betreff. Mein Problem ist nun: Ich habe ihn... Normalerweise habe ich ja computertechnisch keine 2 Linken Hände aber heute habe ich es - Ein neuer Freund: Trojan.Win32.VB.xz...
Archiv
Du betrachtest: Ein neuer Freund: Trojan.Win32.VB.xz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.