wahrscheinlich W32Tibick-Wurm - Logfile inside

#0
17.02.2005, 17:37
Member

Beiträge: 11
#1 Hallo ihr, habe mir wahrscheinlich auch diesen W32Tibick-Wurm eingefangen.Zumindest möchte immer ein svcnet.exe auf´s Internet zugreifen.
Hab mit diesen Dingen aber leider (oder auch Gott sei Dank) keine Erfahrung.Deshalb hab ich Hijackthis mit automatischer Auswertung drüberlaufen lassen. Der hat dann auch einiges gewusst, aber ich weißjetzt nicht, wasich wirklich löschen kann ohne dass nachher alles noch schlimmer ist . Deshalb bitte greift mir unter die Arme. Das log-file ist:

Logfile of HijackThis v1.99.1
Scan saved at 16:42:12, on 17.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\powerman.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svcnet.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Marion\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [powerman] "C:\WINDOWS\System32\powerman.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Shellapi32] svcnet.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [Shellapi32] svcnet.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {17CB20A8-9C65-46E4-A355-7200ABB0C1E6} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2575a1141fef8049c006/netzip/RdxIE601_de.cab
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Pfieeeeelen Dank

So ich bin´s nochmal. Nachdem sich leider noch keiner meiner erbarmt hat hab ich doch mal selbst angefangen und Häkchen gesetzt. Könnte bitte mal ein erfahrener Fuchs über das neue log-file schauen,ob ich nun wirklich clean bin?!

Logfile of HijackThis v1.99.1
Scan saved at 09:13:47, on 18.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Merci
Dieser Beitrag wurde am 18.02.2005 um 09:35 Uhr von nullpeiler editiert.
Seitenanfang Seitenende
27.02.2005, 09:29
Member

Beiträge: 12
#2 Die einzigsten Einträge, die böse sein KÖNNTEN, sind diese hier:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe

-------------
Mehr kann ich dir leider auch nicht weiterhelfen...

Gruß,
Yoshi08
__________
ICH ÜBERNEHME KEINE VERAKTWORTUNG FÜR SCHÄDEN, WENN ICH LOGFILES ÜBERPRÜFE UND SAGE, WAS GEFIXT WERDEN SOLLTE!!!!!!
Seitenanfang Seitenende
02.03.2005, 07:57
Member

Themenstarter

Beiträge: 11
#3 nee, die hab ich geprüft und als ok deklariert bekommen. Aber es muss noch irgendwo was sein,da ich dauernd die´Nachricht bekomme,das in c:\windows\system32\msview\... der Wurm sei. Allerdings werden da dann Dinge aufgelistet(vor allem Spiele), die ich überhaupt nicht auf meinem Rechner hab. Weiß echt nicht wie ich weiter vorgehen soll. Hab auch nochmals etrust drüberlaufen lassen, der sagt aber, es sei alles ok. Was nu??
Seitenanfang Seitenende
02.03.2005, 08:18
Member

Beiträge: 1132
#4 Hallo nullpeiler,

Du hast sicher noch die svcnet.exe auf dem Rechner. Lasse deshalb die Datei
C:\WINDOWS\System32\svcnet.exe
einmal hier überprüfen:
Jotti's Malware Scan
http://virusscan.jotti.dhs.org/

poste das Ergebnis, dann sehen wir, welche Variante von W32.Tibick Du drauf hast.

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

Erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)

Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan" klicken.
Nach abgeschlossenem Scan öffne das Log und suche (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen). Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
02.03.2005, 08:43
Member

Themenstarter

Beiträge: 11
#5 Hallo heron,
das ist ja klasse, dass sich so schnell einer meiner annimmt.
Leider bin ich aber schon 1.Schritt gestolpert. Das einzige was ich geschafft habe ist die Datei svcnet.exe mit Hijackthis zu fixen. Im Verzeichnis windows\system32\ ist die datei nicht mehr. Soll und kann ich jetzt den Wurm mit dem backup-file wirklich wieder rauslassen?
Seitenanfang Seitenende
02.03.2005, 08:51
Member

Beiträge: 1132
#6 Wenn Du die Datei schon gelöscht hast, dann kann man nichts mehr machen.

Führe einfach jetzt den Scan mit eScan durch.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
02.03.2005, 10:40
Member

Themenstarter

Beiträge: 11
#7 Hallo Heron
leider ist mein Computer gerade während des scans ohne Vorwarnung runtergefahren. (hat er in den letzten Tagen schon 2x gemacht). Hängt das auch mit dem Wurm zusammen?
Muss jetzt also das ganze nochmals durchlaufen lasse, das dauert aber noch. Hoffe du bleibst trotzdem dran. danke
Seitenanfang Seitenende
02.03.2005, 12:03
Member

Beiträge: 1132
#8 Noch eins

Zitat

Aber es muss noch irgendwo was sein,da ich dauernd die´Nachricht bekomme,das in c:\windows\system32\msview\... der Wurm sei. Allerdings werden da dann Dinge aufgelistet(vor allem Spiele), die ich überhaupt nicht auf meinem Rechner hab.
Du musst im Win Explorer folgende Einstellungen vornehmen, damit Du alle Dateien sehen kannst:
Extras => Ordneroptionen => Ansicht. Dort dann das Häkchen bei "Geschützte und Systemdateien ausblenden" entfernen und weiter unten "Alle Dateien anzeigen" markieren.

Und wer sagt, dass die infizierte Datei in c:\windows\system32\msview\... ist? Dein Antivir-Prog?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 02.03.2005 um 12:15 Uhr von Heron editiert.
Seitenanfang Seitenende
02.03.2005, 14:57
Member

Themenstarter

Beiträge: 11
#9 Ja , das war die Meldung vom etrust-antivir. Ich hab da so eine Echtzeitüberwachung und da sind dann die Fehlermeldungen gekommen. Ich hab dann die dateien im ordner msview einfach gelöscht. Weiß aber nicht, ob das so schlau war. Das mit den versteckten Dateien mach ich, sobald der virenscan fertig ist.

So hier hab ich auch den Auszug. Ist etwas länger geworden, sorry. Aber es scheint so, als ob mein Rechner wirklich krank ist ;-)

Dank dir für deine Hilfe. Wie sieht das jetzt mit dem plötzlichen Runterfahren aus. Kann ich hoffen, dass das nach der Säuberungsaktion auch alles wieder läuft, oder hängt das nicht mit dem Wurm zusammen?

Scanprotokoll: (Auszug) kann dir allerdings nicht alles mailen, da das irgndiwe nicht ganz reinpasst.

Wed Mar 02 11:30:03 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP34\A0008917.exe
Wed Mar 02 11:31:46 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP34\A0008917.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:12 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015122.exe
Wed Mar 02 11:35:13 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015122.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:13 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015126.exe
Wed Mar 02 11:35:13 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015126.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:13 2005 => Scanning File C:\System Volume
Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015127.exe
Wed Mar 02 11:35:13 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015127.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:13 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015128.exe
Wed Mar 02 11:35:13 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015128.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:13 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015129.exe
Wed Mar 02 11:35:13 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015129.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:24 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015250.exe
Wed Mar 02 11:35:24 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015250.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:24 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015254.exe
Wed Mar 02 11:35:24 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015254.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:24 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015255.exe
Wed Mar 02 11:35:24 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015255.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

.... so geht das durchgehend weiter bis .....

Wed Mar 02 11:35:51 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015685.exe
Wed Mar 02 11:35:51 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015685.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:51 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015686.exe
Wed Mar 02 11:35:51 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015686.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:51 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015687.exe
Wed Mar 02 11:35:51 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015687.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:51 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015688.exe
Wed Mar 02 11:35:51 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015688.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:51 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015689.exe
Wed Mar 02 11:35:51 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015689.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 11:35:51 2005 => Scanning File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015690.exe
Wed Mar 02 11:35:51 2005 => File C:\System Volume Information\_restore{528D32C3-F386-4DD3-B40B-E9BBF9F07B32}\RP52\A0015690.exe infected by "P2P-Worm.Win32.Tibick.d" Virus. Action Taken: No Action Taken.

Wed Mar 02 13:04:25 2005 => ***** Checking for specific ITW Viruses *****
Wed Mar 02 13:04:25 2005 => Checking for Welchia Virus...
Wed Mar 02 13:04:25 2005 => Checking for LovGate Virus...
Wed Mar 02 13:04:25 2005 => Checking for CodeRed Virus...
Wed Mar 02 13:04:25 2005 => Checking for OpaServ Virus...
Wed Mar 02 13:04:25 2005 => Checking for Sobig.e Virus...
Wed Mar 02 13:04:25 2005 => Checking for Winupie Virus...
Wed Mar 02 13:04:25 2005 => Checking for Swen Virus...
Wed Mar 02 13:04:25 2005 => Checking for JS.Fortnight Virus...
Wed Mar 02 13:04:25 2005 => Checking for Novarg Virus...
Wed Mar 02 13:04:25 2005 => Checking for Pagabot Virus...
Wed Mar 02 13:04:25 2005 => Checking for Parite.b Virus...
Wed Mar 02 13:04:26 2005 => Checking for Parite.a Virus...

Wed Mar 02 13:04:26 2005 => ***** Scanning complete. *****

Wed Mar 02 13:04:26 2005 => Total Files Scanned: 76238
Wed Mar 02 13:04:26 2005 => Total Virus(es) Found: 445
Wed Mar 02 13:04:26 2005 => Total Disinfected Files: 0
Wed Mar 02 13:04:26 2005 => Total Files Renamed: 0
Wed Mar 02 13:04:26 2005 => Total Deleted Files: 0
Wed Mar 02 13:04:26 2005 => Total Errors: 5
Wed Mar 02 13:04:26 2005 => Time Elapsed: 02:22:45
Wed Mar 02 13:04:26 2005 => Virus Database Date: 2005/03/02
Wed Mar 02 13:04:26 2005 => Virus Database Count: 119889


So nun bin ich bereit für die nächste Lektion.
Hab jetzt meinen Computer runtergefahren. Wie ist das beim nächsten booten. Kann sich da der Wurm zwischenzeitlich wieder wo anders einnisten. oder bleibt der da wo er ist?

Gruß nullpeiler
Dieser Beitrag wurde am 02.03.2005 um 15:06 Uhr von nullpeiler editiert.
Seitenanfang Seitenende
02.03.2005, 15:09
Member

Beiträge: 1132
#10 Wo ist denn nun die Datei, die eTrust anmeckert!?

Mache zunächst mal Folgendes:

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften)
Rechner neu starten. Dadurch wird der Inhalt des System Volume Information Ordners geleert-
(die infizierten Dateien befinden sich merkwürdigerweise offenbat alle nur im System Volume Information Ordner, die die Daten für die Systemwiederherstellung enthält)
Danach sie Systemwiederherstellung wieder aktivieren

Scanne noch einmal mit mit eScan im abgesicherten Modus und schaue nach "infected" Dateien. Hast Du wirklich eScan so konfiguriert wie oben angegeben, so dass alle Häkchen im Eingangsfenster gesetzt worden sind? Ich glaube einfach nicht, dass eScan nur im System Volume infizierte Dateien findet.

Was das Herunterfahren anbelangt, so kann ich im Moment nicht sagen woran das liegt. Wenn Dir die Zeit dazu bleibt, so versuche in das cmd-Fenster (Start => Ausführen) den Befehl shutdown -a einzugeben, wenn der Rechner Anzeichen des Herunterfahrens erkennen lässt.
Vielleicht hat auch ein anderer Boardie eine Idee dazu. Aus Deinem Log kann ich nicht sehen, dass ein Wurm aktiv ist.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 02.03.2005 um 15:17 Uhr von Heron editiert.
Seitenanfang Seitenende
02.03.2005, 15:21
Member

Themenstarter

Beiträge: 11
#11 Also den Ordner in dem sich angeblich der Wurm befand (msview) hab ich ja gleich nachdem ich die Meldung bekommen habe gelöscht. Vielleicht hab ich ihn ja so irgendwie gestoppt. Mit dem Runterfahren, da geht nichts mehr mit eingeben, das geht ratzfatz. Aber wenn es noch mehr so nette hilfsbereite Menschen ;) im Internet gibt wie dich, werde ich auch das Problem noch lösen.
Nun aber die gute Nachricht: escan ist durch und hat keine infizierten files mehr gefunden. Stark, gell. Ich danke dir vielmals.
Dieser Beitrag wurde am 02.03.2005 um 16:42 Uhr von nullpeiler editiert.
Seitenanfang Seitenende
02.03.2005, 17:41
Member

Beiträge: 1132
#12 Das ist gut!

Poste trotzdem noch mal ein aktuelles HJT Log

Noch Rechnerprobleme?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
02.03.2005, 18:04
Member

Themenstarter

Beiträge: 11
#13 OK hier ist er schon:
Logfile of HijackThis v1.99.1
Scan saved at 17:57:03, on 02.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmjb.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D058247-B5C6-4AB1-8247-712C8C462F85}: NameServer = 192.168.1.1
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Werde dich aber wahrscheinlich nochmals brauchen, da bei mir heute wirklich (im warsten Sinne des Wortes) der Wurm drin ist. An meinem andern PC hat etrust nämlich auch einen Wurm angemotzt und gleich gelöscht. Ich lasse gerade hier auch noch escan drüberlaufen. Und es wäre klasse, wenn du da dann auch ncoh einen Blick drauf werfen könntest. Bei diesem PC handelt es sich um win98SE. Muss ich da einen neuen Thread eröffneno der kann ich das hier anhängen.
Dann hätte ich noch eine Frage: Warum muss man das escan im abgesicherten Modus durchlaufen lassen. Versteh den Sinn nicht ganz.
Ob der rechner stabil läuft wird die Zeit zeigen...
Seitenanfang Seitenende
02.03.2005, 18:19
Member

Beiträge: 1132
#14 O.K. das Log sieht sauber aus. Du hattest ja gesagt, dass Du die Prozesse, welche Yoshi08 als unbekannt gepostet hat, kennst.

Wenn es sich bei der Virenmeldung auf Deinem zweiten PC auch um W32.Tibick handelt, dann kannst Du hier in den Thread posten. Sollte es eine andere Malware sein, dann einen neuen Thread mit dem entsprechenden Titel aufmachen bzw. erst die Suchfunktion verwenden, um herauszufinden, ob es bereits ein bestehender Thread zu diesem Thema gibt.

Man scannt im abgesicherten Modus (kannst Du auch mit Deinem eTrust machen), weil manche Malware die Virenscanner behindert oder sogar ganz deaktivieren kann. Im abgesicherten Modus werden nur die allernotwendigsten Dateien und Treiber geladen, so dass in der Regel dann die Malware nicht aktiv werden kann.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 02.03.2005 um 18:21 Uhr von Heron editiert.
Seitenanfang Seitenende
03.03.2005, 10:07
Member

Themenstarter

Beiträge: 11
#15 Hallo Heron
ich bin´s nochmal. Also nochmal ein dickes Lob. Du warst echt eine Superhilfe. Momentan läuft alles stabil und das Gefühl, dass der Wurm gestoppt ist, macht echt Laune. Nochmals vielen Dank. :yo
Wegen dem anderen Wurm durchsuch ich mal das Forum. Escan hat aber nichts mehr gefunden. Vielleicht hat etrust ihm gleich den Garaus gemacht.
Wo ich noch nicht ganz klar seh bei escan ist folgendes: Ich hab c:\bases erstellt und mwav.exe da reinentpackt. Die hat sich dann aber nochmals in c:\bases zwei Unterordner mit \bases und \download angelegt. Wenn ich dann den update drüberlaufen lass, kopiert der seine files aber direkt unter c:\download. Ist das alles richtig so, oder muss ich die files, die er downgeloaded hat unter c:\bases\downloads reinkopieren damit der mit den neuesten files arbeitet? Vielleicht kannst du mir da noch einen Tipp geben.
Ich wünsch dir was...
Dieser Beitrag wurde am 03.03.2005 um 10:29 Uhr von nullpeiler editiert.
Seitenanfang Seitenende