Virus Cyberbob 33BX french hacker

#1 Hallo ich habe auf meinem rechner den Virus Cyberbob 33 BX french hacker
eingefangen und bekomme ihn nun nicht runter.
Ich kann auch auf keine programme zugreifen oder die startcd Win XP benutzen.
Viren scan ist auch nicht mehr möglich.
Bitte um hilfe wie ich das problem beheben kann.

Vielen Dank Martin

#2 A "virus that deletes mp3 files from all drives and then prevents any other programs from running" was reported by FreqNasty on cdfreaks.com, and he goes on, "Task manager is also disabled after this virus has been run.

"When this virus has done it's work, a window with 'Intelligence Resource Program','Cyberbob 33 BX','The French Hacker" as well as a picture of a shady looking character and words saying "F*** the Pirates..MP3..Games ETC!!! is displayed whenever a program is attempted to start.

Troj/Nopir-A is a Trojan for the Windows platform.

Troj/Nopir-A will display an anti-piracy image on the screen when run. The Trojan will then delete all COM and MP3 files from the computer. The Trojan will also disable taskmanager, registry tools, and access to the control panel. Troj/Nopir-A will also check for debuggers and may attempt to disable any such software that it finds.


------------------------------------------------------------------------------

#RegCleaner 4.0 (free)
Download von chip.de RegCleaner
http://virus-protect.org/reinigungstoolsregistry.html

Tools--> starte den Regeditor

Gehe in die Registry

Taskmanager aktivieren
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ DisableTaskMgr = "1" ---- in "0" ändern

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
loeschen:
SysUpdt
"<Program Files>\Publication Web.Update\UpdatesWin.exe"

HKCR\exefile\Shell\open\command
""loeschen:
"<Program Files>\Publication Web.Update\UpdatesWin.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoControlPanel
"1" --> aendere in 0

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
"1" --> aendere in 0

PC neustarten--> in den abgesicherten modus
------------------
#loeschen:
C.\Windows\Programme\Publication Web.Update\UpdatesWin.exe

#versuche mal im abgesicherten Modus einen virenscann zu machen

#Onlinescans:
http://virus-protect.org/onlinescan.html
------------------

Falls es geht:

silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,

ich habe nun auch den Virus... Wie soll man etwas herunterladen, bzw. installieren wenn man keine Programme ausführen (oder eingeschränkt ausführen) kann ???

Das Problem ist das man wie auch immer, nicht in die Registry reinkommt.

Gibt es noch andere Tipps (ausser C: f.. c) ?????????????

Gruß

suenramm / ScanAll

#4 Hi ScanAll,

der RegCleaner wird nicht installiert. Programm herunterladen und mit der .exe-Datei starten.
Dann so vorgehen, wie oben beschrieben.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#5 du kannst es auch so versuchen:


Kopieren Sie den entsprechenden unten stehenden Text, und fügen Sie ihn anschließend in einen Texteditor (wie beispielsweise Microsoft Editor) ein.
Speichern Sie die Datei unter dem Namen: RESTORE.REG

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\piffile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\scrfile\shell\config\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" /S"

2. Double-click RESTORE.REG, und bestaetigen, dass die Datei der registry beigefuegt wird

**

PC neustarten

Start--aAusfuehren--> regedit

nun muesstest du wieder in die registry kommen
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Anscheinend ein "gut" geplanter Virus. Es ist nicht möglich die restore.reg abzuspeichern da das System dann sagt das man nicht die nötigen Rechte dazu hat.
Zwar kann man das Programm RegCleaner starten, aber wenn man in die Registry rein möchte geht es auch nicht weiter.

Tja, ob´s wohl auf ein "Time to say goodbye" hinausläuft ?

Ich hab auf jedenfall keine Ideen mehr... Ihr vielleicht noch ?

Gruß

ScanAll

#7 nun, du kannst es im abgesicherten Modus versuchen...als administrator
__________
MfG Sabina

rund um die PC-Sicherheit

#8 hi,

na herzlichen glückwunsch... noch ein grund mehr, warum ich die franzosen hasse.... also bei mir siehts wie folgt aus: alle Mediendateien wurden gelöscht, kein Programm ist mehr zu öffnen, etc blabla... nunja, in den abgesicherten modus komm ich auch net rein...der lädt sich da nen wolf, und wenn ich die "restore.reg" datei öffnen will, fragt er mich jedes mal, mit welchem programm ich die datei öffnen will. das selbe gilt übrigens auch für den registrycleaner.exe. ergo: ich kann nix mehr öffnen.

Muss ich jetzt unbedingt alles platt machen oder gibt's noch ne chance?

NACHTRAG: Hab das proggi installiert bekommen, komme aber selbst unter "RUN REGEDIT" nicht in die registry........
__________
- n.A. -

#9 in der Registry

Taskmanager aktivieren
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ DisableTaskMgr "1" --- in "0" ändern

Aktivieren Control Panel
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ NoControlPanel "1" --- in "0" ändern

Aktivieren Registry Tools
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ DisableRegistryTools "1" --- in "0" ändern

pc neustarten

du kannst mal folgendes versuchen (falls du noch in cmd kommst)

Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus

einzeln reinkopierendann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit

#10

Zitat

Sabina postete

du kannst mal folgendes versuchen (falls du noch in cmd kommst)

Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus

einzeln reinkopierendann öffnet sich der Editor)

...das kapier ich gerade nicht

habe aber gemerkt dass ich so ziemlich alle programme per command öffnen kann. da hat der mistkerl nicht aufgepasst. hab dem übrigens ne pmessage geschrieben.
mal sehen, was der antwortet.

Achja, was mir noch aufgefallen ist:
Der Virus ist keineswegs "schlau", er ist lediglich mit den wichtigsten befehlen ausgestattet. man kann des mit einer batchdatei (stapelverarbeitung) vergleichen. ( So nach dem motto "delete *.mp3 \y )
Somit wird lediglich alles, was die endung mp3 hat gelöscht.
das mit der benutzerverwaltung - muss ich zugeben - ist ne nummer komplexer.

achja, wer französisch kann und das benutzerprofil des hackers sehen will, geht auf www.vbfrance.com und sucht nach diesem ominösen pseudohacker cyberbob33.

mfG

ancestor
__________
- n.A. -

#11 wenn du mir die Dateien rauskopierst, die auf dem pC sind kann ich vielleicht die Hack-Dateien finden (vielleicht)

und in der Registry kannst du alles andere wieder aktivieren (wie erklaert)
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Oki soweit verstanden, jedoch noch eine kleinigkeit: welche daten...? und wo find ich die?
__________
- n.A. -

#13 Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 30 Tage aus dem sich öffnenden Editor raus

einzeln reinkopierendann öffnet sich der Editor)

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Oki, mach ich nachher, jetzt hab ichs gerallt Danke dir schonmal im vorraus
__________
- n.A. -

#15 heute und morgen bin ich noch da, dann sind Ferien
__________
MfG Sabina

rund um die PC-Sicherheit