Tibick.b ... Bitte um Hilfe!!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von [CBebop], 12. Juli 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. [CBebop]

    [CBebop] ROM

    Registriert seit:
    12. Juli 2005
    Beiträge:
    6
    Hallo zusammen,

    ich habe mir leider einen Wurm eingefangen :) und hoffe das ihr mir helfen könnt!

    Antivir hat heute 3mal bei mir gemeldet das es einen Worm/Tibick.b auf D:\System Volume Information\Restore {???} gefunden hat. Habe die betroffene Datei von AV löschen lassen jedoch bekam ich bis jetzt noch zwie weitere Meldungen.

    Wie bekomme ich den Wurm nun endgültig wieder weg?

    Nebenbei habe ich mich gerade deswegen gefragt ob ich ZoneAlarm installieren soll. Wäre das sinvoll oder ist der Verwaltungsaufwand zu umständlich für n kleinen Homeuser???

    Hier mein Hijack Log:
    -------------------
    http://www.hijackthis.de/logfiles/9f41146a79858991712f03e15a46d75a.html

    ----------------------------------------------------------------
    Anmerkung der Moderation:

    Bitte keine kompletten HijackThis-Logs im Forum posten, sondern lediglich den Link zur gespeicherten Auswertung, wie auf folgender Seite beschrieben: http://www.pcwelt.de/forum/thread134046.html

    Gruß
    Nevok

    ----------------------------------------------------------------
     
  2. schwarzm

    schwarzm Viertel Gigabyte

    Registriert seit:
    24. Januar 2005
    Beiträge:
    3.979
    Kein Posten von kompletten Logs!!! Denke das nächste Mal dran ;)

    Was ist das:
    O4 - Startup: Versatel.lnk = ?
     
  3. [CBebop]

    [CBebop] ROM

    Registriert seit:
    12. Juli 2005
    Beiträge:
    6
    versatel ist mein inetprovider...hab die verbindung in den autostart gepackt...

    sry wegen dem logpost...

    Irgendwelche Ideen?
     
  4. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Das Ding sitzt in der Systemwiederherstellung. Möglicherweise ist er weg, wenn alle Wiederherstellungspunkte gelöscht sind. Vielleicht aber auch nicht.
    http://www.sophos.de/virusinfo/analyses/trojtibikb.html

    Irgendwann hat der Wächter mal versagt (bei Antivir nichts neues). Also war er auch mal aktiv, sollte man annehmen. Du kannst versuchen, von einem sauberen Bootmedium mit AV-Software zu starten und einen erneuten Check mit aktualisierten Signaturen zu machen. Am saubersten und sichersten ist aber, das System neu aufzusetzen.

    Zum Thema "komprimittierte Systeme":
    http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx
     
  5. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Achja: das mit Zonealarm würde ich lassen. Wenn überhaupt eine SW-Firewall, dann die Windowseigene, die schützt genauso gut bzw. schlecht wie die anderen. Man kann aber nicht soviel falsch machen.
     
  6. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ach, das kann ich mir nicht verkneifen:

    Was soll man dazu noch sagen...:D

    EDIT: das Log sieht sauber aus, heißt aber nix.
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
  8. [CBebop]

    [CBebop] ROM

    Registriert seit:
    12. Juli 2005
    Beiträge:
    6
    bis jetzt noch nicht...hab aber auch erst seid 2 wochen inet...

    bringt das was wenn ich av neuinstalliere, update und laufen lass?
     
  9. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ist der Rechner gebraucht? Oder hast du dir diesen Uraltwurm gefangen, weil du mit alten Signaturen eines schlechten AV-Programms auf Tauschbörsen unterwegs warst?
     
  10. [CBebop]

    [CBebop] ROM

    Registriert seit:
    12. Juli 2005
    Beiträge:
    6
    bin zwar manchmal auf ner tauschbörse aber hab Antivir sogar gestern noch geupdatet...
     
  11. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also ich schließe mich steppls Analyse an, die Möglichkeit ist durchaus da, das der Wurm aktiv war und somit dein System kompromittiert hat.
    Ob du das System deswegen neu aufsetzt ist deine Entscheidung, ich würde es tun, falls du es machst gibts hier eine Anleitung:
    http://www.dedies-board.de/wbb2/thread.php?threadid=176
    Falls nicht, so kannst du alle Wiederherstellungspunke löschen:
    im Explorer Rechtsklick auf C>>Eigenschaften>>Bereinigen>>Weitere Optionen dort bei Systemwiederherstellung auf Bereinigen klicken.


    Grüße Jasager
     
  12. [CBebop]

    [CBebop] ROM

    Registriert seit:
    12. Juli 2005
    Beiträge:
    6
    hey...glaube der wurm ist weg...

    Jedoch frage ich mich ob das Ok ist dass im Taskmanager 6x der Prozess svchost.exe läuft????

    p.s.:Was bedeutet komprommitiertes System? Woran merk ich das?
    Muss ich Windows dann neu installieren, und wenn ja, kann ich dann meine Musik und Textdokumente behalten?

    Danke im Voraus
     
  13. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.482
  14. [CBebop]

    [CBebop] ROM

    Registriert seit:
    12. Juli 2005
    Beiträge:
    6
    lol...schon klar das computersysteme gemeint sind aber was bedeutet das und wie merkt man das? hab da nicht so die ahnung von...sry.

    und was ist mit der svchost.exe?
     
  15. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.482
    Ein kompromittiertes Computersystem ist zumindest von einer Schadware befallen. Im Falle eines Trojaners kann dieser aber noch weitere nachinstalliert haben, die jedoch nicht bemerkt wird/werden kann. Um hier Gefahren aus dem Weg zu gehen, ist es meist vernünftiger, sein Betriebssystem neu aufzuspielen. Es können eben noch ganz andere Schädlinge ihr Unwesen treiben, bereits Kennwörter ausspioniert worden sein (und jedes Neugewählte eben sofort auch) u. a. m. . Das ist mit Kompromittierung gemeint: ein "Worst-Case"-Szenario eben.

    Am einfachsten geht das, indem ein Image eines frisch aufgespielten und weitestgehend den Bedürfnissen des Users angepassten Betriebssystems gesichert wird. Dies geschieht mit Programmen wie Acronis True Image oder Norton Ghost. So kann ein bereits funktionierendes System wiederhergestellt werden, auf dem nur noch wenige Anpassungen zum gerade noch existierenden Zustand durchgeführt werden müssen. Das stundenlange Neuaufspielen entfällt.

    Wichtig: vor dem Imagebrennen nicht ins Internet, das SP2 sollte installiert sein. Bei winboard.org kann man sämtliche Updates seit SP2 herunterladen, auf CD sichern und schon vor dem ersten erneuten Internetbesuch aufspielen.

    Firewall (die von XP oder die neueste Version eines anderen Produkts von z.B. Heft-CD) und ein bereits möglichst aktuelles Antivirenprogramm sind auch nach Wiederherstellung des Image Pflicht vor der ersten Einwahl ins Netz.

    Die svchost muss im Ordner %windir%\system32\ stehen. Sie übernimmt viele Aufgaben und kann daher mehrfach in der Prozessliste auftauchen. Ähnliche Dateinamen oder derselbe Name in irgendeinem anderen Verzeichnis sind bedenklich!
     
  16. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    In #4 und #13 steht schon alles zum Thema "Komprimittierung, eigentlich sehr verständlich, wenn man nicht zu faul zum Lesen ist.

    Das mit der svchost.exe ist normal.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen