Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Habe den Virus W32.Tibick

Habe den Virus W32.Tibick


Plagegeister aller Art und deren Bekämpfung: Habe den Virus W32.Tibick

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 17.10.2004, 11:44   #1
kiliean
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


Hallo Leute,
habe mir den Virus W32.Tibick eingefangen. Norton zeigt mir an:Objekt-Name= C:Windows system32 svcnet.exe Kann mir geholfen werden? Wäre euch sehr dankbar für jede Hilfe:

gRU?
KILIEAN

Alt 17.10.2004, 11:51   #2
*Christian*
Gast
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


Scanne mal hiermit im abgesicherten Modus: http://www.trojaner-board.de/42731-escan-anleitung.html
__________________
Alt 17.10.2004, 15:12   #3
kiliean
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


Hier meine Liste:
C:\WINDOWS\System32\svcnet.exe
Sun Oct 17 15:19:43 2004 => File C:\WINDOWS\System32\svcnet.exe infected by "Worm.P2P.Tibick.b" Virus. Action Taken: No Action Taken.
__________________
Alt 17.10.2004, 16:18   #4
*Christian*
Gast
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


Lösche die Datei C:\WINDOWS\System32\svcnet.exe im abgesicherten Modus.

Dann poste mal ein HijackThis-Log.

Alt 17.10.2004, 19:44   #5
kiliean
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


So, hier mein Log:
Logfile of HijackThis v1.98.2
Scan saved at 20:41:28, on 17.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\TweakNow PowerPack\RAM_XP.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\TextBridge Pro 9.0\Bin\Ereg\Remind32.exe
C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe
C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE
C:\Programme\WinSweep\WSMonitor.exe
C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\AutoDailUp\AutoDialUp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AIM95\aim.exe
C:\Dokumente und Einstellungen\Mustermann\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:www.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\TweakNow PowerPack\RAM_XP.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WINJAM - Konfiguration] C:\Programme\WinSweep\WSPopup.exe /STEP1 /SOUND
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe"
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 9.0\Bin\Ereg\Remind32.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab


Ich hoffe, ich habe alles richtig gemacht und keine Viren mehr drauf....!


Alt 17.10.2004, 22:30   #6
Shadowdance
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


@ kiliean,

Dein Logfile sieht sauber aus.

Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com und lade Dir das aktuelle Service Pack runter.

Schau noch mal nach, ob der Virus weg ist: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Zitat Cidre)

Bei XP muss Folgendes beachtet werden: abgesicherter Modus - löschen von Dateien im abgesicherten Modus bei deaktivierter Systemwiederherstellung!

SD

Alt 26.10.2004, 21:27   #7
pipebomb
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


hab mir au den w32 tibick eingefangen. hab ihn mittlerweile zwar wieder runter und die registry sollte auch normal sein aber ich kann se trotzdem nur im abgesicherten modus öffnen, alles andre funzt normal.
hier mein HijackThis log des ich im abgesicherten modus gemacht hab.

Logfile of HijackThis v1.97.7
Scan saved at 22:18:57, on 26.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=
O1 - Hosts: 127.155.67.216 www.symantec.com
O1 - Hosts: 127.147.33.249 securityresponse.symantec.com
O1 - Hosts: 127.138.146.105 symantec.com
O1 - Hosts: 127.32.154.248 www.mcafee.com
O1 - Hosts: 127.217.254.191 mcafee.com
O1 - Hosts: 127.76.99.177 us.mcafee.com
O1 - Hosts: 127.85.64.130 www.sophos.com
O1 - Hosts: 127.138.6.214 sophos.com
O1 - Hosts: 127.146.84.50 www.viruslist.com
O1 - Hosts: 127.242.27.29 viruslist.com
O1 - Hosts: 127.184.178.235 f-secure.com
O1 - Hosts: 127.188.157.73 www.f-secure.com
O1 - Hosts: 127.84.142.124 kaspersky.com
O1 - Hosts: 127.9.43.65 www.avp.com
O1 - Hosts: 127.154.233.138 www.kaspersky.com
O1 - Hosts: 127.85.98.201 avp.com
O1 - Hosts: 127.212.151.183 www.networkassociates.com
O1 - Hosts: 127.40.200.177 networkassociates.com
O1 - Hosts: 127.248.141.11 www.ca.com
O1 - Hosts: 127.232.11.151 ca.com
O1 - Hosts: 127.151.18.15 my-etrust.com
O1 - Hosts: 127.211.129.142 www.my-etrust.com
O1 - Hosts: 127.170.165.82 secure.nai.com
O1 - Hosts: 127.130.36.81 nai.com
O1 - Hosts: 127.223.184.88 www.nai.com
O1 - Hosts: 127.151.138.193 trendmicro.com
O1 - Hosts: 127.119.148.35 www.trendmicro.com
O1 - Hosts: 127.91.127.217 housecall.trendmicro.com
O1 - Hosts: 127.216.247.210 www.pandasoftware.com
O1 - Hosts: 127.108.77.117 www.bitdefender.com
O1 - Hosts: 127.92.86.15 www.ravantivirus.com
O1 - Hosts: 127.218.222.104 www3.ca.com
O1 - Hosts: 127.3.200.59 v4.windowsupdate.microsoft.com
O1 - Hosts: 127.70.50.217 v5.windowsupdate.microsoft.com
O1 - Hosts: 127.24.252.161 v5windowsupdate.microsoft.nsatc.net
O1 - Hosts: 127.207.227.237 windowsupdate.microsoft.com
O1 - Hosts: 127.226.209.22 www.windowsupdate.com
O1 - Hosts: 127.252.173.23 windowsupdate.com
O1 - Hosts: 127.252.173.23 windowsupdate.com
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: TV Movie.de - {B50FCD28-C2CC-4f3b-B755-62B086EDE4D5} - C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = C:\Programme\Nikon\NkView4\NkVwMon.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: ChatSpace Full Java Client 4.0.0.301 - http://63.102.226.240:8000/Java/cfs40301.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTS...=1055364898734
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/12a924c0cb4d448...dxIE601_de.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/7/532/6712/.../Installer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

was muss ich tun damit sich die registry wieder öffnen lässt?

cya pipe

Alt 27.10.2004, 04:57   #8
Shadowdance
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


@ pipebomb

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

F2 - REG:system.ini: Shell=
O1 - Hosts: 127.155.67.216 www.symantec.com
O1 - Hosts: 127.147.33.249 securityresponse.symantec.com
O1 - Hosts: 127.138.146.105 symantec.com
O1 - Hosts: 127.32.154.248 www.mcafee.com
O1 - Hosts: 127.217.254.191 mcafee.com
O1 - Hosts: 127.76.99.177 us.mcafee.com
O1 - Hosts: 127.85.64.130 www.sophos.com
O1 - Hosts: 127.138.6.214 sophos.com
O1 - Hosts: 127.146.84.50 www.viruslist.com
O1 - Hosts: 127.242.27.29 viruslist.com
O1 - Hosts: 127.184.178.235 f-secure.com
O1 - Hosts: 127.188.157.73 www.f-secure.com
O1 - Hosts: 127.84.142.124 kaspersky.com
O1 - Hosts: 127.9.43.65 www.avp.com
O1 - Hosts: 127.154.233.138 www.kaspersky.com
O1 - Hosts: 127.85.98.201 avp.com
O1 - Hosts: 127.212.151.183 www.networkassociates.com
O1 - Hosts: 127.40.200.177 networkassociates.com
O1 - Hosts: 127.248.141.11 www.ca.com
O1 - Hosts: 127.232.11.151 ca.com
O1 - Hosts: 127.151.18.15 my-etrust.com
O1 - Hosts: 127.211.129.142 www.my-etrust.com
O1 - Hosts: 127.170.165.82 secure.nai.com
O1 - Hosts: 127.130.36.81 nai.com
O1 - Hosts: 127.223.184.88 www.nai.com
O1 - Hosts: 127.151.138.193 trendmicro.com
O1 - Hosts: 127.119.148.35 www.trendmicro.com
O1 - Hosts: 127.91.127.217 housecall.trendmicro.com
O1 - Hosts: 127.216.247.210 www.pandasoftware.com
O1 - Hosts: 127.108.77.117 www.bitdefender.com
O1 - Hosts: 127.92.86.15 www.ravantivirus.com
O1 - Hosts: 127.218.222.104 www3.ca.com
O1 - Hosts: 127.3.200.59 v4.windowsupdate.microsoft.com
O1 - Hosts: 127.70.50.217 v5.windowsupdate.microsoft.com
O1 - Hosts: 127.24.252.161 v5windowsupdate.microsoft.nsatc.net
O1 - Hosts: 127.207.227.237 windowsupdate.microsoft.com
O1 - Hosts: 127.226.209.22 www.windowsupdate.com
O1 - Hosts: 127.252.173.23 windowsupdate.com
O1 - Hosts: 127.252.173.23 windowsupdate.com
O9 - Extra button: Run DAP (HKLM)
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - ht*p://a532.g.akamai.net/7/532/6712...5/Installer.exe

wenn Du diese Einträge nicht kennst/brauchst bitte fixen:

O16 - DPF: ChatSpace Full Java Client 4.0.0.301 - ht*p://63.102.226.240:8000/Java/cfs40301.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - ht*ps://components.viewpoint.com/MT...T=1055364898734
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - ht*p://207.188.7.150/12a924c0cb4d44...RdxIE601_de.cab

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung,

===@===

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

===@===

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

===@===

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile aus dem normalen Modus, achte aiuf die aktuelle (!) Version (http://www.trojaner-board.de/51130-a...ijackthis.html) und poste es.

SD

Alt 27.10.2004, 10:41   #9
pipebomb
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


hab alles gemacht. die beiden teile wurden gefunden
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\dmfnss.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken.

bei der registry kommt immer noch "Das bearbeiten der Registrierung wurde durch den Administrator deaktiviert"

hier noch des hijack log vom normalen modus
Logfile of HijackThis v1.97.7
Scan saved at 18:43:34, on 27.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Nikon\NkView4\NkVwMon.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\MBPROBE.EXE
D:\mIRC\mirc.exe
C:\Programme\Outlook Express\msimn.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-zone.de/?menu=0601
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: TV Movie.de - {B50FCD28-C2CC-4f3b-B755-62B086EDE4D5} - C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [RegService] regdisk.exe -drivers
O4 - Startup: MBPROBE.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = C:\Programme\Nikon\NkView4\NkVwMon.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &TV Movie Toolbar Suche - res://C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

kann ich des O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) eigentlich löschen? den windows messenger hab ich sowieso runter geschmissen da ich nur icq benutz.

nochn edit: habe mit dem befehl "REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\pol
icies\System /v DisableRegistryTools /t REG_DWORD /d 00000000 /f" die registry wieder zum laufen gebracht. könnt ihr mir trotzdem noch sagen ob mein system jetzt endgültig sauber is.
Geändert von pipebomb (27.10.2004 um 18:45 Uhr)

Alt 02.11.2004, 12:44   #10
locco
 
Habe den Virus W32.Tibick - Böse

Habe den Virus W32.Tibick


servus also ich habe auch den Win32.Tibick.B virus und ich bekomme ihn nicht wech mein system ist geupdated und ich verwende e trust antivirus
aber es zeigt mir immer nur diese meldung mit der ich nix anfangen kann..(
wollte fragen ob die svcnet.exe immer verseucht ist

2004/11/02 11:43:04.687 File infection: C:\System Volume Information\_restore{823E0930-B29C-41B1-82CF-C9A829041C20}\RP262\A0078390.exe is Win32.Tibick.B worm. Deleted.

hier mein scan mit HijackThis bin unerfahren und würde mich sehr freuen wenn mir jemand helfen könnte

mfg petro





Scan saved at 12:37:32, on 02.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMA32.EXE
C:\Programme\Folder Shield\FSService.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fssm32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FCH32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\pit\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [COMDRV32] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [System Restore] svcnet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [System Restore] svcnet.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/aktenkoffer/act...pload_1115.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1778CB15-52F5-496A-91CD-5C472A25A0B7}: NameServer = 217.237.150.33 217.237.151.161

Alt 02.11.2004, 13:01   #11
Shadowdance
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


Hallo pipebomb,

wie ich gerade festgestellt habe, sind Deine Hijack This Logfiles mit einer veralteten Version von Hijack This erstellt. Sei bitte so nett, lade das aktuelle Hijack This in der Version v1.98.2 runter: http://www.trojaner-board.de/51130-a...ijackthis.html, erstelle ein neues Hijack This Logfile und poste es.

Und lade bitte LSP-Fix runter. LSP-Fix wirst Du brauchen, wenn Du den Eintrag "File C:\dmfnss.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken." löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit LSP-Fix kannst Du dieses Problem beheben: die Internetverbindung trennen, LSP-Fix ausführen. Den Rechner neu booten.

SD

Alt 02.11.2004, 13:14   #12
Shadowdance
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


Hallo locco,

überprüfe mit dem online-scan von Kaspersky:

C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei, wenn sie infiziert ist, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck)

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

O4 - HKLM\..\Run: [System Restore] svcnet.exe
O4 - HKCU\..\Run: [System Restore] svcnet.exe

wenn Du folgende Einträge nicht kennst/brauchst bitte fixen:

O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - ht*ps://img.web.de/v/aktenkoffer/ac...upload_1115.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - ht*ps://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - ht*p://stream.pussyharem.com/stream/mmp.cab

Beende:
svchost.exe

lösche:
C:\WINDOWS\svchost.exe

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung,

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Alt 02.11.2004, 19:29   #13
locco
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


danke für die schnelle hife echt super!
so also der online scan bei Kaspersky hat keinen virus gefunden
hab die svchost im windows ordner gelöscht doch ich hab 4 weitere auf dem system und sobald ich die im taskm beenden will fährt der pc in 1min runter und ab da kann ich auch durch rechts klick nicht mehr löschen reagiert einfach nimmer

escan hat ergeben:
tue Nov 02 18:15:02 2004 => File C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\~331957.tmp infected by "TrojanDownloader.Win32.WinTool" Virus. Action Taken:


Tue Nov 02 18:15:02 2004 => File C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temp\~334805.tmp infected by "TrojanDownloader.Win32.WinTool" Virus. Action Taken: No Action Taken

edition\Infected\~_M000017.AVI infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: No Action Taken.

Edition\Infected\WUInst.dll tagged as not-a-virus:AdWare.SaveNow.ab. No Action Taken.


Edition\Infected\WhAgent.exe tagged as not-a-virus:AdWare.WebHancer. No Action Taken.
hab die dateien alle gelöscht
mein neuer HijackThis scan:

Logfile of HijackThis v1.98.2
Scan saved at 19:28:20, on 02.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsgk32st.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMA32.EXE
C:\Programme\Folder Shield\FSService.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMB32.EXE
C:\Programme\Folder Shield\fsp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FCH32.EXE
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsav32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\pit\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\CA\ETRUST~1\ETRUST~2\ca.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1778CB15-52F5-496A-91CD-5C472A25A0B7}: NameServer = 217.237.150.33 217.237.151.161

so hoffe das bringt euch und mich weiter mfg petro

Alt 02.11.2004, 21:59   #14
*Christian*
Gast
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


Das Log sieht sauber aus.

Leere deinen Temp-Ordner

Alt 05.11.2004, 13:16   #15
pipebomb
 
Habe den Virus W32.Tibick - Standard

Habe den Virus W32.Tibick


Zitat:
Zitat von Shadowdance
Und lade bitte LSP-Fix runter. LSP-Fix wirst Du brauchen, wenn Du den Eintrag "File C:\dmfnss.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken." löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit LSP-Fix kannst Du dieses Problem beheben: die Internetverbindung trennen, LSP-Fix ausführen. Den Rechner neu booten.

SD
des dmfnss.exe hab ich schon vor paar tagen gelöscht da ich nirgends nen nutzen von dem prog gefunden hab. inet geht ohne probleme.
ich hab jetzt grad die neue HijackThis version runtergeladen un mach n log.

edit: hier kommt des log

Logfile of HijackThis v1.98.2
Scan saved at 13:20:31, on 05.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Nikon\NkView4\NkVwMon.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\MBPROBE.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
D:\mIRC\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Programme\ICQ\Icq.exe
C:\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-zone.de/?menu=0601
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: TV Movie.de - {B50FCD28-C2CC-4f3b-B755-62B086EDE4D5} - C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [RegService] regdisk.exe -drivers
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\Icq.exe -trayboot
O4 - Startup: MBPROBE.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = C:\Programme\Nikon\NkView4\NkVwMon.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &TV Movie Toolbar Suche - res://C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

edit: hab dap jetzt komplett runtergeworfen also is der eintrag au weg.
was mir noch angst macht sind die 2 einträge
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKCU\..\Run: [RegService] regdisk.exe -drivers
habs mal mit http://www.hijackthis.de/index.php geprüft un alle andren sachen was des teil bemängelt kenn ich eigentlich nur des regservice kommt mir irgendwie garnet gut vor. könnt ihr mir sagen was des is oda ob ichs runter machen soll?
Geändert von pipebomb (05.11.2004 um 14:09 Uhr)

Antwort
Seite 1 von 2 1 2

Themen zu Habe den Virus W32.Tibick
.exe, dankbar, geholfen, hilfe, leute, norton, system, system32, virus, windows, windows system


« und was jetzt? | panda avengine »


Ähnliche Themen: Habe den Virus W32.Tibick


  1. Ich habe 2 DllHost.exe Prozesse, Habe ich mir einen Virus eingefangen?
    Log-Analyse und Auswertung - 29.08.2013 (9)
  2. ich glaub ich habe einen virus(trojaner>JS/Exploit-Blacole.ht< unter anderen.) sorry habe im ersten thema so ziemlich alles falsch gemacht
    Mülltonne - 21.12.2012 (4)
  3. Ich habe mir den 50€ virus eingefangen (habe OTL.txt und Extra.txt
    Log-Analyse und Auswertung - 09.01.2012 (1)
  4. Guten Morgen ich habe ein Gefühl ich habe nun einen Virus/Trojaner
    Log-Analyse und Auswertung - 23.12.2009 (1)
  5. Hilfe, habe Virus!! habe HiJachThis Log
    Mülltonne - 03.02.2009 (0)
  6. Tibick.b ... Bitte um Hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 14.07.2005 (5)
  7. Probleme mit Worm Tibick und TR/Dldr.Adload.G
    Log-Analyse und Auswertung - 30.05.2005 (1)
  8. W32.tibick
    Log-Analyse und Auswertung - 05.05.2005 (2)
  9. tibick.f (die wahrscheinlich 1000ste)
    Plagegeister aller Art und deren Bekämpfung - 05.04.2005 (8)
  10. tibick.f (die wahrscheinlich 1000ste)
    Log-Analyse und Auswertung - 05.04.2005 (2)
  11. Wurm Tibick.b
    Plagegeister aller Art und deren Bekämpfung - 25.01.2005 (2)
  12. Hilfe bei worm tibick.f
    Plagegeister aller Art und deren Bekämpfung - 23.01.2005 (5)
  13. Scheisse, Ich Hab Tibick Und Keine Ahnung!!!!!!
    Log-Analyse und Auswertung - 24.11.2004 (9)
  14. W32.Tibick
    Plagegeister aller Art und deren Bekämpfung - 16.11.2004 (2)
  15. Weiterhin Probleme durch Tibick
    Plagegeister aller Art und deren Bekämpfung - 29.10.2004 (2)
  16. W32.Tibick blockiert alles
    Plagegeister aller Art und deren Bekämpfung - 27.10.2004 (14)
  17. Hallo habe ein Problem weis nicht ob ich ein Virus habe
    Log-Analyse und Auswertung - 26.09.2004 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Habe den Virus W32.Tibick - Hallo Leute, habe mir den Virus W32.Tibick eingefangen. Norton zeigt mir an: Objekt-Name= C:Windows system32 svcnet.exe Kann mir geholfen werden? Wäre euch sehr dankbar für jede Hilfe: gRU? KILIEAN - Habe den Virus W32.Tibick...
Archiv
Du betrachtest: Habe den Virus W32.Tibick auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130