tibick.f (die wahrscheinlich 1000ste)

Fr34k · 05.04.2005, 12:34

Hi,

habe seit einiger Zeit den Wurm Tibick.f auf meinem Rechner und bekomme diesen nicht weg. Habe bereits einige Foren gelesen bzgl Tibick.f, alles so gemacht wie dort beschrieben, jedoch bekomme ich diesen Wurm nich weg.

Ich will den Wurm aber nicht gewinnen lassen, also helft mir bitte dabei ihn zu bekämpfen

Immer wieder ploppt (bei längerem Stillstand des Rechners) eine Fehlermeldung von AntiVir auf.... Seit Wochen lösche ich diese Datein, die er mir ausspuckt, aber irgendwie wollen diese Meldungen nicht aufhören
Den msview Ordner habe ich bereits von meiner Platte entfernt.

Habe gerade meine Platte mit escan gescannt, kann jedoch nicht damit anfangen was dieser mir via Logfile widergibt.

Unter Virus LOg Information bekomme ich dies:
ile System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Und das Objects Scanned Fenster denk ich mir kann ich mir sparen zu posten.

Bitte bitte helft mir, ich und meine sämtlichen bekannten sind mit unsrem Latein am Ende. Ich will nicht formatieren müssen.

Danke im Voraus @all

Gigamail · 05.04.2005, 12:41

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

gebe mal noch folgendes bekannt

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Fr34k · 05.04.2005, 12:55

Logfile of HijackThis v1.99.1
Scan saved at 13:39:45, on 05.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\HP\KBD\KBD.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RUNDLL32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-aware.exe
C:\DOKUME~1\Fr34kal\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Fr34kal\LOKALE~1\Temp\kavss.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\Fr34kal\LOKALE~1\Temp\~AceTemp\hijackthis[1]\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aby.spinchat.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096728815609
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EFA53BD-8897-44A4-8C95-E32EACC6A6F7}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

das ist mein log von hijack

dieses log ist von escan:

File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\NDNuninstall6_38.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Fr34k · 05.04.2005, 13:07

escan folgt,
habe gerade gesehen dass der ja noch gar nicht fertig ist :-/

Gigamail · 05.04.2005, 13:46

wohl ne vesüffte Datei beim File Sharing aufgerafft

lese mal hier

Ok lade Dir LspFix
deinstalliere unter systemsteuerung --> Software alle unseriösen Programme z. B. NewDotNet, P2P, Newnet; WildTangent usw.
lösche falls noch vorhanden die Ordner dazu

--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung
folgende Einträge:

alle R0 und R1
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dl l",cdaEngineMain
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

solltest Du das nicht kennen auch fixen:

O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com

lösche von hand folgende Dateien:

C:\WINDOWS\system32\ps2.exe
C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dl l <-- falls noch vorhanden

Datenträgerbereinigung:

Windowstaste+R --> cleanmgr --> enter
klick bei temp
Klick bei temporary Internet Files
ok

Papierkorb leeren
solltest du Probleme haben ins Netz zu kommen, mit Lspfix reparieren

neu booten neue Startseite vergeben neues HJT posten

dartus · 05.04.2005, 14:09

Hallo,

die ps2.exe = http://startup.iamnotageek.com/srch-ps2.exe.html
würd ich nur Löschen, wenn sie nicht mehr gebraucht wird.

dartus

Gigamail · 05.04.2005, 14:50

ok

ps2.exe -->

Zitat:

Multimedia Keyboard companion on HP computers. If this is prevented from starting, then some keyboard functionality will be lost.

nicht fixen und nicht löschen

Fr34k · 05.04.2005, 15:49

danke schonma im voraus, ich werd das mal probiern.
hab jetz die log von escan fertig.

total viruses found: 34
total errors: 6289 !!!!

hab alle bereits gelöscht, denn bei jedem mal mit escan scannen kam dann von antivir die aufforderung was mit der datei geschehen soll.
und das genau 6289 mal......... ^^

also 6289 auf L gedrückt für löschen und 6289 mal enter zur bestätigung. das macht spass..........

hoffentlich hab ich nun ruhe von dem zeugs.

danke für deine hilfe

Gigamail · 05.04.2005, 15:53

Zitat:

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

das hätten wir schon gerne mal gewusst :aplaus:

tibick.f (die wahrscheinlich 1000ste)

Plagegeister aller Art und deren Bekämpfung: tibick.f (die wahrscheinlich 1000ste)