|
Plagegeister aller Art und deren Bekämpfung: Wurm Tibick.bWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.01.2005, 19:07 | #1 |
| Wurm Tibick.b hi ich hab mir den wurm tibick.b eingefangen. hijack this hab ich drübergelassen, die verdächtigen sachen fixen lassen. alles, was av personal (vorher bereits gleich beim hochfahren) gemeldet hat, hab ich auch entfernen lassen. der trojaner legte im windows32\system (XP pro, SP2, alle updates)eine "svcnet.exe" an. im gleichen verzeichnis befindet sich jetzt noch ein ordner, der sich "msview" nennt, wo sich durch den trojaner diverse exe-dateien angelegt haben, bei denen der virenscanner ebenfalls alarm schlug (paar hundert dateien, ganz schön nervig, der av personal-alarm mit der zeit *g*). die hab ich dann natürlich auch alle vom virenscanner löschen lassen. außerdem war im task-manager die "svcnet.exe" zu sehen, die sich aber problemlos beenden lies und nicht von selbst neu startete. die firewall (zone alarm) fragte mich auch nach inet-zugriff für den trojaner, getarnt als "process 1748", so wie diverse andere trojaner-dateien, die sich selbst in die firewall-programmliste eintrugen, z.b. als *.tmp datei. dies soll in erster linie als genauerer anhaltspunkt für die user hier für den wurm tibick.b dienen, aber ich hab auch noch eine frage: in welchen registry-einträgen muss ich noch gucken, damit der wurm wirklich komplett entfernt ist? thx für hilfe & greetz |
22.01.2005, 19:49 | #2 |
Wurm Tibick.b Poste bitte das HijackThis log.
__________________ich sag dir danach welche registrierungseinträge betroffen sind, da es dann einfacher ist. Geändert von Chris14 (22.01.2005 um 19:55 Uhr) |
25.01.2005, 09:42 | #3 |
| Wurm Tibick.b hi
__________________mach ich. nur hab ich mir jetzt auch noch ne "search bar" eingefangen... da hat man äußerst selten probleme mit viren & trojanern, dann gleich 2 auf einmal *g* bin aber auch das problem so gut wie los, startseite wieder normal etc. nur die bar selbst befindet sich noch im IE. lass gleich mal HijackThis drüber und poste das log hier. hier das log: Logfile of HijackThis v1.99.0 Scan saved at 09:41:41, on 25.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS2\System32\smss.exe C:\WINDOWS2\system32\winlogon.exe C:\WINDOWS2\system32\services.exe C:\WINDOWS2\system32\lsass.exe C:\WINDOWS2\system32\svchost.exe C:\WINDOWS2\System32\svchost.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS2\system32\nvsvc32.exe C:\WINDOWS2\System32\svchost.exe C:\WINDOWS2\system32\ZoneLabs\vsmon.exe C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe C:\WINDOWS2\Explorer.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQ\Icq.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Yahoo!\Messenger\YPager.exe C:\WINDOWS2\regedit.exe C:\Programme\Internet Explorer\iexplore.exe C:\Downloads\TOOLS\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.seekerbar.com/ie.aspx?tb_id=50154 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hof-chat.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.seekerbar.com/ie.aspx?tb_id=50154 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.seekerbar.com/ie.aspx?tb_id=50154 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: ZServObj Class - {00000000-C1EC-0345-6EC2-4D0300000000} - C:\WINDOWS2\ZServ.dll O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS2\BTGrab.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file) O3 - Toolbar: Search Bar - {0A8CE102-FA03-4612-9BEE-7FE5452F4CB1} - C:\WINDOWS2\system32\srchbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS2\Updreg.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS2\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemp...veSekurity.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...f64dc3f0db6853 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0582FD52-1BA2-40C3-84FB-31E340263B52}: NameServer = 217.237.149.225 217.237.151.97 O17 - HKLM\System\CS1\Services\Tcpip\..\{0582FD52-1BA2-40C3-84FB-31E340263B52}: NameServer = 217.237.149.225 217.237.151.97 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS2\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS2\system32\ZoneLabs\vsmon.exe ok, nach HijackThis ist die searchbar jetzt auch wieder weg, aber ich bekomm jetzt komischerweise manchmal ne "read konnte auf speicheradresse xxxxx nicht ausgeführt werden"-fehlermeldung. greetz & thx Geändert von MechUnit (25.01.2005 um 09:48 Uhr) |
Themen zu Wurm Tibick.b |
.exe, beenden, diverse, entfernen, exe-dateien, firewall, frage, hijack, hijack this, löschen, nervig, neu, ordner, scan, sp2, system, task-manager, this, trojaner, träge, updates, virenscanner, von selbst, windows, windows32, wurm, zone, zone alarm |