Tibick.b ... Bitte um Hilfe!!!

Hallo zusammen,

ich habe mir leider einen Wurm eingefangen und hoffe das ihr mir helfen könnt!

Antivir hat heute 3mal bei mir gemeldet das es einen Worm/Tibick.b auf D:\System Volume Information\Restore {???} gefunden hat. Habe die betroffene Datei von AV löschen lassen jedoch bekam ich bis jetzt noch zwie weitere Meldungen.

Wie bekomme ich den Wurm nun endgültig wieder weg?

Nebenbei habe ich mich gerade deswegen gefragt ob ich ZoneAlarm installieren soll. Wäre das sinvoll oder ist der Verwaltungsaufwand zu umständlich für n kleinen Homeuser???

Hier mein Hijack Log:
-------------------
http://www.hijackthis.de/logfiles/9f41146a79858991712f03e15a46d75a.html

----------------------------------------------------------------
Anmerkung der Moderation:

Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich den Link zur gespeicherten Auswertung, wie auf folgender Seite beschrieben: http://www.pcwelt.de/forum/thread134046.html

Gruß
Nevok
----------------------------------------------------------------

 

Kein Posten von kompletten Logs!!! Denke das nächste Mal dran

Was ist das:
O4 - Startup: Versatel.lnk = ?

 

versatel ist mein inetprovider...hab die verbindung in den autostart gepackt...

sry wegen dem logpost...

Irgendwelche Ideen?

 

Das Ding sitzt in der Systemwiederherstellung. Möglicherweise ist er weg, wenn alle Wiederherstellungspunkte gelöscht sind. Vielleicht aber auch nicht.
http://www.sophos.de/virusinfo/analyses/trojtibikb.html

Irgendwann hat der Wächter mal versagt (bei Antivir nichts neues). Also war er auch mal aktiv, sollte man annehmen. Du kannst versuchen, von einem sauberen Bootmedium mit AV-Software zu starten und einen erneuten Check mit aktualisierten Signaturen zu machen. Am saubersten und sichersten ist aber, das System neu aufzusetzen.

Zum Thema "komprimittierte Systeme":
http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

 

Achja: das mit Zonealarm würde ich lassen. Wenn überhaupt eine SW-Firewall, dann die Windowseigene, die schützt genauso gut bzw. schlecht wie die anderen. Man kann aber nicht soviel falsch machen.

 

Ach, das kann ich mir nicht verkneifen:

Was soll man dazu noch sagen...

EDIT: das Log sieht sauber aus, heißt aber nix.

 

Hallo,
erstmal die automatische Auswertung deines Logs:
http://www.hijackthis.de/logfiles/9f41146a79858991712f03e15a46d75a.html

Hattest du schon mal Probleme mit einem Wurm?



Grüße Jasager

 

bis jetzt noch nicht...hab aber auch erst seid 2 wochen inet...

bringt das was wenn ich av neuinstalliere, update und laufen lass?

 

Ist der Rechner gebraucht? Oder hast du dir diesen Uraltwurm gefangen, weil du mit alten Signaturen eines schlechten AV-Programms auf Tauschbörsen unterwegs warst?

 

bin zwar manchmal auf ner tauschbörse aber hab Antivir sogar gestern noch geupdatet...

 

Hallo,
also ich schließe mich steppls Analyse an, die Möglichkeit ist durchaus da, das der Wurm aktiv war und somit dein System kompromittiert hat.
Ob du das System deswegen neu aufsetzt ist deine Entscheidung, ich würde es tun, falls du es machst gibts hier eine Anleitung:
http://www.dedies-board.de/wbb2/thread.php?threadid=176
Falls nicht, so kannst du alle Wiederherstellungspunke löschen:
im Explorer Rechtsklick auf C>>Eigenschaften>>Bereinigen>>Weitere Optionen dort bei Systemwiederherstellung auf Bereinigen klicken.


Grüße Jasager

 

hey...glaube der wurm ist weg...

Jedoch frage ich mich ob das Ok ist dass im Taskmanager 6x der Prozess svchost.exe läuft????

p.s.:Was bedeutet komprommitiertes System? Woran merk ich das?
Muss ich Windows dann neu installieren, und wenn ja, kann ich dann meine Musik und Textdokumente behalten?

Danke im Voraus

 

Kompromittiertes Computersystem...

 

lol...schon klar das computersysteme gemeint sind aber was bedeutet das und wie merkt man das? hab da nicht so die ahnung von...sry.

und was ist mit der svchost.exe?

 

Ein kompromittiertes Computersystem ist zumindest von einer Schadware befallen. Im Falle eines Trojaners kann dieser aber noch weitere nachinstalliert haben, die jedoch nicht bemerkt wird/werden kann. Um hier Gefahren aus dem Weg zu gehen, ist es meist vernünftiger, sein Betriebssystem neu aufzuspielen. Es können eben noch ganz andere Schädlinge ihr Unwesen treiben, bereits Kennwörter ausspioniert worden sein (und jedes Neugewählte eben sofort auch) u. a. m. . Das ist mit Kompromittierung gemeint: ein "Worst-Case"-Szenario eben.

Am einfachsten geht das, indem ein Image eines frisch aufgespielten und weitestgehend den Bedürfnissen des Users angepassten Betriebssystems gesichert wird. Dies geschieht mit Programmen wie Acronis True Image oder Norton Ghost. So kann ein bereits funktionierendes System wiederhergestellt werden, auf dem nur noch wenige Anpassungen zum gerade noch existierenden Zustand durchgeführt werden müssen. Das stundenlange Neuaufspielen entfällt.

Wichtig: vor dem Imagebrennen nicht ins Internet, das SP2 sollte installiert sein. Bei winboard.org kann man sämtliche Updates seit SP2 herunterladen, auf CD sichern und schon vor dem ersten erneuten Internetbesuch aufspielen.

Firewall (die von XP oder die neueste Version eines anderen Produkts von z.B. Heft-CD) und ein bereits möglichst aktuelles Antivirenprogramm sind auch nach Wiederherstellung des Image Pflicht vor der ersten Einwahl ins Netz.

Die svchost muss im Ordner %windir%\system32\ stehen. Sie übernimmt viele Aufgaben und kann daher mehrfach in der Prozessliste auftauchen. Ähnliche Dateinamen oder derselbe Name in irgendeinem anderen Verzeichnis sind bedenklich!

 

In #4 und #13 steht schon alles zum Thema "Komprimittierung, eigentlich sehr verständlich, wenn man nicht zu faul zum Lesen ist.

Das mit der svchost.exe ist normal.