TiBick.B wurm

Kein Virenscanner auf dem System gehabt?

Fixen:

F0 - system.ini: Shell=Explorer.exe,vxdserv32.exe -shell
F2 - REG:system.ini: Shell=Explorer.exe,vxdserv32.exe -shell
O1 - Hosts: 127.51.230.43 www.symantec.com
O1 - Hosts: 127.84.238.192 securityresponse.symantec.com
O1 - Hosts: 127.48.102.253 symantec.com
O1 - Hosts: 127.95.187.50 www.mcafee.com
O1 - Hosts: 127.71.105.231 mcafee.com
O1 - Hosts: 127.170.200.115 us.mcafee.com
O1 - Hosts: 127.23.146.20 www.sophos.com
O1 - Hosts: 127.115.172.251 sophos.com
O1 - Hosts: 127.92.111.189 www.viruslist.com
O1 - Hosts: 127.52.155.123 viruslist.com
O1 - Hosts: 127.30.224.45 f-secure.com
O1 - Hosts: 127.14.23.211 www.f-secure.com
O1 - Hosts: 127.114.180.19 kaspersky.com
O1 - Hosts: 127.225.189.74 www.avp.com
O1 - Hosts: 127.37.149.173 www.kaspersky.com
O1 - Hosts: 127.211.66.11 avp.com
O1 - Hosts: 127.233.210.178 www.networkassociates.com
O1 - Hosts: 127.65.249.44 networkassociates.com
O1 - Hosts: 127.214.179.13 www.ca.com
O1 - Hosts: 127.69.124.152 ca.com
O1 - Hosts: 127.98.79.188 my-etrust.com
O1 - Hosts: 127.87.73.180 www.my-etrust.com
O1 - Hosts: 127.30.37.120 secure.nai.com
O1 - Hosts: 127.183.121.163 nai.com
O1 - Hosts: 127.214.231.237 www.nai.com
O1 - Hosts: 127.160.211.102 trendmicro.com
O1 - Hosts: 127.233.46.170 www.trendmicro.com
O1 - Hosts: 127.115.240.84 housecall.trendmicro.com
O1 - Hosts: 127.244.27.22 www.pandasoftware.com
O1 - Hosts: 127.94.39.160 www.bitdefender.com
O1 - Hosts: 127.33.15.7 www.ravantivirus.com
O1 - Hosts: 127.41.119.223 www3.ca.com
O1 - Hosts: 127.190.249.213 v4.windowsupdate.microsoft.com
O1 - Hosts: 127.42.182.206 v5.windowsupdate.microsoft.com
O1 - Hosts: 127.232.247.250 v5windowsupdate.microsoft.nsatc.net
O1 - Hosts: 127.153.157.206 windowsupdate.microsoft.com
O1 - Hosts: 127.102.45.153 www.windowsupdate.com
O1 - Hosts: 127.184.148.205 windowsupdate.com

O4 - HKLM\..\Run: [I/O Controllers] svcnet.exe
O4 - HKLM\..\Run: [pathname] C:\WINNT\System32\pathname.exe
O4 - HKLM\..\Run: [DLLScan] vxdserv32.exe -services
O4 - HKLM\..\RunServices: [DLLScan] vxdserv32.exe -services

O4 - HKCU\..\Run: [od-stnd366] c:\programme\Webdialer\od-stnd366.exe -m
O4 - HKCU\..\Run: [ssate.exe] C:\WINNT\System32\irun4.exe
O4 - HKCU\..\Run: [I/O Controllers] svcnet.exe
O4 - HKCU\..\Run: [DLLScan] vxdserv32.exe -drivers

O10 - Broken Internet access because of LSP provider 'lsp.dll' missing
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://fotoservice.web.de/static/download/WDU_1251.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

Danach besworg dir erstmal hier Sysclean und scann damit im abgesicherten-Modus:
http://www.computerhilfen.de/hilfen-17-30578-0.html

Danach mach nochmal ein HJT-LOG aber mit der v1.98.2

Gruß

Hallo und danke erstmal,

und, ähhhmmm   stimmt, hatte mein Virenprogramm vor einiger Zeit deinstalliert und es nicht ersetzt.

Ich habe das System im abgesicherten Modus mit Sysclean gescannt und er hat vier Viren gefunden (die aber nicht beseitigt weil ich das Produkt nicht gekauft habe).

Hier das neue Log-File mit der neuen Hijackthis-Version:

Logfile of HijackThis v1.98.2
Scan saved at 18:23:39, on 20.11.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\LXSUPMON.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINNT\System32\internat.exe
D:\Antivirenprogramme\Spyware-Trojaner\a2\a2guard.exe
C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Antivirenprogramme\Wurmkiller\HijackThis19802.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CloneCDTray] "D:\Clone\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [a-squared] "D:\Antivirenprogramme\Spyware-Trojaner\a2\a2guard.exe"
O4 - Startup: FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: Fritz!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: eBay Toolbar.LNK = C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe
O4 - Global Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Quicken 2003 Zahlungserinnerung.lnk = D:\Quicken 2003\Quicken2003\billmind.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{8059998C-5283-4C37-A036-7457E797210E}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFFD21BE-55F0-4757-A7A3-647BE77683CD}: NameServer = 192.168.120.252,192.168.120.253

Hallo, brauchst du die E-Bay Toolbar wirklich?
Sonst mal deinstallieren und die beiden Einträge noch fixen:

:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe  
Nasty   running process. (ebaytbar.exe)
eBay Toolbar (Spyware)   This is a nasty process! You should fix it and try to delete it manually!

O4 - Global Startup: eBay Toolbar.LNK = C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe  
Nasty   The entered application 'eBay Toolbar.LNK (ebaytbar.exe)' was identified: 'eBay Toolbar (EBAYTBAR.EXE )'. Hit rate: 45 % (result)   Must be fixed!

(O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll  
Possibly nasty   Unknown buttons or entries in the 'Extras'-menu should be fixed.   To be fixed if the entry 'eBay Toolbar ' is unknown.
  O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll  
Possibly nasty   Unknown buttons or entries in the 'Extras'-menu should be fixed.   To be fixed if the entry 'eBay Toolbar ' is unknown.)

Ein Update auf den IE6 wäre auch kein Luxus.
Noch besser allerdings wäre den Firefox zu benutzen
und den IE nur fü Windows-Update.

Firefox Download:   http://firebird-browser.de/  

Sysclean entfern auch ohne das du es kaufst..

Hattest du das Häkchen angeklickt:
Automaticly Clean or Delete Files?

Hast du dei Pattern-Dateiruntergeladen und ins syclean.com Verzeichnis entpackt?

Ansonsten prüf mal folgende Dateien hier: Kaspersky-Online Virentest

C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\System32\internat.exe

Gruß

Die Dateien bei Sysclean konnte ich nicht entpacken weil ich sie in meinem temp-Ordner nicht gefunden habe.  

Aber der Online-Virenprüfer hat gesagt die Dateien seinen ok.

Danke für Deine Hilfe!!!!

Welche Dateien meinst du?

Es sind nur 2 Dateien und 1 davon muss entpackt werden(lpt257.zip).

Nach dem Starten von syclean.com werden dann die Signaturen von syclean automatisch extrahiert.

Es muss nur alles in 1 ordner liegen dann funktionierts auch.

Gruß