Rechner vom W32/YAHA-K infiziert - wie beseitigen?

#1 Ich habe eine Bekannte online, deren PC von diesem Wurm befallen ist. Sie kann keine EXE-Dateien mehr ausführen, löschen etc.
Die Programme was vor der infizierung liefen laufen noch. Alle anderen können nicht mehr gestartet werden.
Der Rechner wird vorerst nicht ausgeschaltete, da dann warscheinlich gar nichts geht.

Eine Startdiskette existiert leider nicht!

Jemand eine gute Idee?

#2 Vielleicht hilft dir das hier: http://securityresponse.symantec.com/avcenter/venc/data/w32.yaha.k@mm.html

Wer sagt eigentlich, dass es sich um Yaha-K handelt? In der Beschreibung habe ich (beim Überfliegen) von den von dir beschriebenen Symptomen nämlich nix gesehen...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 Der Wurm wurde von mehreren anderen Personen, die verseuchte Mails von meiner Bekannten bekommen haben gemeldet.

Info:

W32/Yaha-K erzeugt 3 Dateien im Systemordner:
WinServices.exe
nav32_loader.exe
tcpsvc32.exe

Jede dieser Dateien beinhaltet eine Kopie des Wurmes.

W32/Yaha-K fügt folgende Werte zur Registry hinzu und sorgt somit dafür,
daß WinServices.exe bei jedem Bootvorgang oder Netzwerklogin gestartet wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winservices
="%SYSFOLDER%\WinServices.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Winservices
="%SYSFOLDER%\WinServices.exe"

W32/Yaha-K setzt außerdem

HKCR\exefile\shell\open\command\(Default)
=""%SYSFOLDER%\nav32_loader.exe" "%1" %*"

Damit wird bei jedem EXE-Aufruf der W32/Yaha-K ausgeführt.

Einmal ausgeführt, W32/Yaha-K bleibt er resistent im Speicher aktiv, kann aber nicht als Prozeß in der Taskliste gesehen werden.
Der Wurm trifft laufend Maßnamen um das entfernen zu verhindern:

* setzt den Registry-Eintrag für EXE-Files automatisch wieder auf sich zurück
* beendet die meisten Anti-virus-Programme, etc.
* beendet REGEDIT

Das sind die Informationen, die ich auf die schnelle von Sophos übersetzt habe.

Zum Beseitigen empfehlen sie natürlich ihre Software (EXE... Ha Ha Ha!)
Wenn das nicht geht, dann mit sauberer Bootdiskette booten und Scan-starten (wie denn ohne Bootdiskette...)

#4 Versuche es mal damit: ftp://ftp.kaspersky.com/utils/clrav.com
KAV wird ihn wohl als Lentin.X erkennen, das ist aber wohl egal!

MfG raman

#5 Mein System verschickt die ganze Zeit infizierte Mails an irgendwelche Leute, die ich überhaupt nicht kenne (sprich: an die hab ich persönlich keine geschrieben und die befinden sich definitiv auch nicht in einem meiner Adressbücher). Teils werden die Mails rejected...ich bekomm sie dann zurück und es steht drin, dass sie den W32.Yaha.K@mm enthalten sollen. Die Registry Datei hab ich überprüft. Die Dateien
WinServices.exe
nav32_loader.exe
tcpsvc32.exe
wurden nicht erzeugt. Der Wert bei HKLM\Software\Classes\exefile\shell\open\command ist immernoch "%1" %*.
Ich hab außerdem das Symantec Tool, anschließend den Norton, den Solo AV und eben auch das Tool von raman über den Rechner laufen lassen. Alles negativ. Habt Ihr 'ne Idee? Ganz herzlichen Dank,

Matze

P.S. Die erste Firma droht mir aufgrund der zugeschickten Mails bereits mit Schadensersatz!