Ahoi,

hab da mal ne kleine Geschichte.....

Heute morgen schmeiss ich den Rechner an (i.d.R. sitzen 3 Rechner hinter
einem no-name Router an einer TDSl-Leitung) und diverse Programme
(Antivirus/ISDN Ueberwachung) starten erst gar nicht.
Nix Internet...
Nach einem Router-Reset (ist zumindest die einzig nachvollziehbare Aktion)
geht zumindest WWW und email wieder...
Mein zweiter Gedanke "Virus/Wurm" hatte sich dann auch schnell geklaert
und als Troj/Tibik-B entlarvt... in /Sytem32 waren svcnet.exe sowie der
Order msview mit seinen ca 80 mb Eintraegen vorhanden.
Mir war auch schnell klar, wo ich mir den Scheiss eingefangen habe...
habe gestern so eine exe von emule aufgemacht, die man eigentlich
ja nicht aufmacht und immer mit anderen Leuten schimpft, denen man
Support leistet. Natuerlich habe ich die Datei jedoch vorher mit
nem (10 Minuten davor ge'updaten) Virenscanner (Bitdefender) gescannt.
Hat er dann wohl nicht erkannt... shit happens.. no risk no fun...
bin ja selbst schuld....und notfalls hat ne Neuinstallation ja auch
immer was von Fruehjahrsputz ;-)
Was mich jetzt allerdings verdutzt und interessiert, sind die ganzen
Nebeneffekte, die ich zu Troj/Tibik-B nirgendwo finden kann.

1. Antivirus (Bitdefender) und Windows Firewall lassen sich nicht mehr starten.
2. Wenn mann Woerter wie "Virus" oder "Firewall" bei google eingibt schliesst
sich jeder Browser (Firefox, Mozilla oder IE) bei "normalen Woertern" funktioniert
die Suche..

Da ich heute den ganzen Tag unterwegs war, war dann mein Rechner aus und ich habe
meiner Frau gesagt, dass sie mit ihrem Rechner unbesort ins Internet (ueber besagten Router) gehen
kann. Nach 1-2 Stunden hat sich dann, auf ihrem Desktop das "Internet-Explorer Icon" in
"InternTrojTibik-Bet Explorer" umbenannt.
Das macht mich nun doch etwas nervoes...
Eine 'Trojaner backdoor Aktion' ueber den Router oder was kann dahinter stecken???

Ein HijackThis Log reiche ich gerne noch nach... nur momentan bin ich erstmal vom
Notebook ueber Direkteinwahl auf "Raster-Fahndung"

thx
Alonzo

@ Alonzo

um herauszufinden, ob und welche Malware sich auf Deinem Rechner befindet, überprüfe Deinen rechner mit dem eScan:

erstelle für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter und entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan dauert ca 1 Stunde.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

--------------------

Erstelle ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis.

Hmm, deine Geschichte hört sich nicht gut an, waren mal alle Rechner hinterm Router, also im LAN gleichzeitig an?
Wenn ja, hast du richtige Arbeit.
Es gibt Hybriden, die sich nichts aus Routern und Proxy-Serven machen, die arbeiten reverse.
Und das blöde ist, sie infizieren, das ganze LAN, wenn man es nicht genügend konfiguriert hat, ist mir selbst erst kürzlich geschehen.
Ich musste auf den win-Kisten true image benutzen, um aus der Nummer wieder raus zu kommen, denn zu Fuß hätte mir das zu lange gedauert.
Poste bitte mal wie es bei dir weiter geht, dass würde mich interessieren.
Liebe Grüße, Charlie

www.sophos.de - zu Troj/Tibik-B:

"Troj/Tibik-B kann via IRC auch als Backdoor benutzt werden, um Dateien herunterzuladen und auszuführen. Der von ihm erstellte Ordner hat den Namen "msview" und befindet sich im Windows-Systemordner. Der Trojaner kopiert sich außerdem als svcnet.exe in den Windows-Systemordner."

Worm.P2P.Tibick.b - beachte "Advanced"

Peer-to-Peer, dass war ja die Gebuhrstagstüberhaschung, genau am 20.11.04, ich nehme halt immer alles mit!
Liebe Grüße, Charlie.

Gebuhrstagstüberhaschung,
dass ist ja auch nicht schlecht, dass hat aber die Rechtschreibeprüfung von Word verzapft!
LOL, der Charlie

@ charlie1 - Ja die Kisten waren wohl fuer 5 Minuten gleichzeitig im Netz.
Hat wohl gereicht

so... Junge, Junge.. eschan und Hijack This haben einiges zu Tage befoerdert...
es fing schonmal mit kleinen schweinischen Hindernissen an.. Hijack This liess
sich gar nicht so einfach downloaden, weil jeder Browser bei der URl von Klaffke.de sofort zu ging (Wie schon bei beschriebener google Suche)

eScan liess sich im abgesicherten Modus auch nicht starten. Nach Beenden
des Prozesses Sysscan.exe gings dann und es gab folgende Ergebnisse:

File C:\WINDOWS\system32\sysscan.exe infected by "Backdoor.Win32.Aebot.o" Virus. Action Taken: File Renamed.

C:\Dokumente und Einstellungen\All Users\Dokumente\!ReadMe.exe infected by "Backdoor.Gobot.y" Virus. Action Taken: File Renamed.

C:\Dokumente und Einstellungen\All Users\Dokumente\install.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: File Deleted.

Einige Java-Treffer z.B.
File C:\Dokumente und Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\SecurityClassLoader.class-e9044dc-2a9754b8.class infected by "Exploit.JS.ScriptSrc.a" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XVFVT14Y\ver80[1].exe infected by "Backdoor.Win32.Aebot.o" Virus. Action Taken: File Renamed.

ca. 300-400 Treffer wie diesen:
File C:\System Volume Information\_restore{D5302E19-726C-4A6B-BC70-E1036F5BB477}\RP633\A0019396.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{D5302E19-726C-4A6B-BC70-E1036F5BB477}\RP633\A0019924.exe infected by "Backdoor.Win32.Aebot.o" Virus. Action Taken: File Renamed.

"Nicht schlecht Herr Specht"

Hijack This erbrachte folgendes:

Logfile of HijackThis v1.99.0
Scan saved at 00:33:33, on 15.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
F2 - REG:system.ini: Shell=
O1 - Hosts: 127.63.37.83 www.symantec.com
O1 - Hosts: 127.222.189.115 securityresponse.symantec.com
O1 - Hosts: 127.53.40.107 symantec.com
O1 - Hosts: 127.137.237.246 www.mcafee.com
O1 - Hosts: 127.150.64.162 mcafee.com
O1 - Hosts: 127.65.9.46 us.mcafee.com
O1 - Hosts: 127.15.210.48 www.sophos.com
O1 - Hosts: 127.98.25.156 sophos.com
O1 - Hosts: 127.49.206.185 www.viruslist.com
O1 - Hosts: 127.27.119.84 viruslist.com
O1 - Hosts: 127.97.58.246 f-secure.com
O1 - Hosts: 127.151.238.200 www.f-secure.com
O1 - Hosts: 127.70.139.192 kaspersky.com
O1 - Hosts: 127.64.208.241 www.avp.com
O1 - Hosts: 127.196.39.184 www.kaspersky.com
O1 - Hosts: 127.5.178.221 avp.com
O1 - Hosts: 127.180.168.11 www.networkassociates.com
O1 - Hosts: 127.168.210.22 networkassociates.com
O1 - Hosts: 127.202.185.249 www.ca.com
O1 - Hosts: 127.119.91.89 ca.com
O1 - Hosts: 127.113.164.43 my-etrust.com
O1 - Hosts: 127.13.249.148 www.my-etrust.com
O1 - Hosts: 127.134.228.250 secure.nai.com
O1 - Hosts: 127.224.126.47 nai.com
O1 - Hosts: 127.50.101.56 www.nai.com
O1 - Hosts: 127.203.140.249 trendmicro.com
O1 - Hosts: 127.91.45.29 www.trendmicro.com
O1 - Hosts: 127.215.121.101 housecall.trendmicro.com
O1 - Hosts: 127.92.157.92 www.pandasoftware.com
O1 - Hosts: 127.243.235.203 www.bitdefender.com
O1 - Hosts: 127.8.162.151 www.ravantivirus.com
O1 - Hosts: 127.83.222.240 www3.ca.com
O1 - Hosts: 127.42.91.163 v4.windowsupdate.microsoft.com
O1 - Hosts: 127.176.23.4 v5.windowsupdate.microsoft.com
O1 - Hosts: 127.244.31.92 v5windowsupdate.microsoft.nsatc.net
O1 - Hosts: 127.167.35.206 windowsupdate.microsoft.com
O1 - Hosts: 127.31.240.1 www.windowsupdate.com
O1 - Hosts: 127.222.129.205 windowsupdate.com
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v2.2a\Disk_Monitor.exe
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: point32.exe.lnk = C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - Startup: Verknüpfung mit Microsoft Outlook.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerISDNMonitor (Autostart).lnk = C:\Programme\PowerISDNMonitor\pisdnmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: + Offline &Explorer: Download the link - file://C:\Programme\Offline Explorer Enterprise\Add_UrlO.htm
O8 - Extra context menu item: + Offline E&xplorer: Download the current page - file://C:\Programme\Offline Explorer Enterprise\Add_AllO.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Whois Lookup with &Whois Web - c:\program files\whois web\WWcontext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Whois - {11E47140-F946-4049-B038-AB77CAA0480B} - c:\program files\whois web\WWtoolbar.htm (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEBE9B24-8693-4BC8-A253-BBA54FAFE98C}: NameServer = 192.168.6.2
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Rechner2 (Der mit dem geaenderten IE Desktop-Icon)
hatte keine escan Treffer und folgendes Hijack This logfile:

Logfile of HijackThis v1.99.0
Scan saved at 21:42:08, on 14.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\Manu\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104936310279
O17 - HKLM\System\CCS\Services\Tcpip\..\{56A97426-ACA1-4245-BBD6-70B21865688A}: NameServer = 192.168.6.2,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{56A97426-ACA1-4245-BBD6-70B21865688A}: NameServer = 192.168.6.2,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{56A97426-ACA1-4245-BBD6-70B21865688A}: NameServer = 192.168.6.2,0.0.0.0
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD File System Service - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Das riecht wohl nach zumindest einer Neuinstalltion (ist eh schon lange
auf der Todo-Liste) oder sollte ich besser beide Rechner neu aufsetzen??

thx
Alonzo

Hallo,

geh auf Nummer sicher und mach beide platt. Bedeutet für dich zwar mehr Arbeit aber danach hast du wirklich wieder saubere Systeme.
Auch wenn das HJT Log-File und der eScan Sauberkeit vermelden bleiben immer noch grosse Restzweifel, dass dies auch tatsächlich so ist.

Vielen Dank!
Werde die beiden Rechner neu aufsetzen!

Was mich noch interessieren wuerde..
kennt jemand eine Beschreibung zu Tibick.d
oder ist das die Bezeichnung von escan...
also das gleiche wie Tibkik-B?

cheers
alonzo

Zu Tibik.D sind leider noch keine Informationen der AV Hersteller im Netz, aber ist anzunehmen, dass er mindestens die Schadroutine von Tibik.B aufweist.

Kann man irgendwie sagen, wie lange es i.d.R. dauert, bis
die Antiviren-Hersteller solche Schadensroutinen ins Netz
stellen?
Is' wahrscheinlich eine naive Frage und es verhaelt sich vermutlich,
wie mit so vielen Dingen im Leben "mal so - mal so" oder?