Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: thwc.exe macht mir das leben schwer!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.02.2010, 21:31   #1
XxtremeX
 
thwc.exe macht mir das leben schwer! - Standard

thwc.exe macht mir das leben schwer!



Ich habe die ganze zeit das problem das irgendein problem mit svchost.exe da ist und der sich dann beendet...dehalb hab ich mit Avira Antivir gescannt und viren gelöscht als ich dann neugestartet habe wollte mein pc zunächst nichtmal den explorer starten was ich dann aber über taskmanager gemacht habe wobei mir direkt aufgefallen ist das eine thwc exe an ist und immer kurz noch ein zweites mal an ist unter beschreibung steht da " vGA yyPUeTTovyH ". Ich hoffe ihr könnt mir helfen

Ich hab auch schon gegooglet aber nichts gefunden hier mein hijack log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:23:40, on 03.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\helppane.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.defaulthomepage.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: run=
O1 - Hosts: ::1 localhost
O1 - Hosts: 121.128.133.26 gwgt1.joymax.co.kr
O1 - Hosts: 121.128.133.26 gwgt1.joymax.com
O1 - Hosts: 121.128.133.27 gwgt2.joymax.co.kr
O1 - Hosts: 121.128.133.27 gwgt2.joymax.com
O1 - Hosts: 64.152.34.142 joymaxnpro.nefficient.com
O1 - Hosts: 121.128.133.12 silkroadonline.net
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [129.tmp] C:\Windows\temp\129.tmp
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\rqRLbbyX.dll,#1
O4 - HKLM\..\Run: [TrayServer] C:\Program Files\MAGIX\Video_deluxe_15_Premium\TrayServer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Somefox] C:\Users\****\AppData\Local\Temp\video198.cfg.exe
O4 - HKCU\..\Run: [admwebhlp] C:\ProgramData\admwebhlp\azszufwf.exe
O4 - HKCU\..\Run: [qJ2tCr4CQ2] C:\ProgramData\sjkjyhux\kjurupah.exe
O4 - HKCU\..\Run: [lphc1tjj0e9b8] C:\Windows\system32\lphc1tjj0e9b8.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (.NET CLR 3.5.30729)" -"****://www.jetztspielen.ws/spiele/Race+spiele/Motor+Jump+1+(Knievel+Wild+Ride).html"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ieSpell Options - res://C:\Program Files\ieSpell\iespell.dll/SPELLOPTION.HTM
O8 - Extra context menu item: Check &Spelling - res://C:\Program Files\ieSpell\iespell.dll/SPELLCHECK.HTM
O8 - Extra context menu item: Lookup on Merriam Webster - file://C:\Program Files\ieSpell\Merriam Webster.HTM
O8 - Extra context menu item: Lookup on Wikipedia - file://C:\Program Files\ieSpell\wikipedia.HTM
O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5C870EC-68C5-41D4-8F4B-6EA4CD6E911A}: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdiub.exe (file missing)

--
End of file - 8668 bytes

Mfg

Und Danke schonmal im Vorraus

Alt 12.02.2010, 08:00   #2
Kiyoshi
 
thwc.exe macht mir das leben schwer! - Standard

thwc.exe macht mir das leben schwer!



Hey,
bitte tu noch folgendes:
Öffne HiJackThis, scanne und fixe folgendes:
Zitat:
F3 - REG:win.ini: run=
O1 - Hosts: ::1 localhost
O1 - Hosts: 121.128.133.26 gwgt1.joymax.co.kr
O1 - Hosts: 121.128.133.26 gwgt1.joymax.com
O1 - Hosts: 121.128.133.27 gwgt2.joymax.co.kr
O1 - Hosts: 121.128.133.27 gwgt2.joymax.com
O1 - Hosts: 64.152.34.142 joymaxnpro.nefficient.com
O1 - Hosts: 121.128.133.12 silkroadonline.net
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Falls etwas nach dem fixen nicht mehr funktioniert, kannst du die gefixten Einträge wiederherstellen- hierzu muss jedoch HJT in einem separaten Ordner laufen.(Bsp C:\HJT\ )

Führe folgendes nacheinander aus: http://www.trojaner-board.de/51464-a...-ccleaner.html
und
http://www.trojaner-board.de/51187-a...i-malware.html

aus.
Poste bitte das Logfile von Malwarebytes hier hinein.

Bin auf der Arbeit, melde mich heute Nachmittag wieder!
__________________


Alt 12.02.2010, 09:54   #3
handball10
/// Helfer-Team
 
thwc.exe macht mir das leben schwer! - Standard

thwc.exe macht mir das leben schwer!



Moin XxtremeX und

Kleiner Tip:
Satzzeichen, wie Punkt und Komma sind keine Sünde.
Das macht es für uns leichter lesen

So...

könntest du das Logfile von Avira posten? Es wäre schon mal gut zu sehn, was dort schon gefunden wurde.

Achtung:
Code:
ATTFilter
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5C870EC-68C5-41D4-8F4B-6EA4CD6E911A}: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
         
Du wirst über die Ukraine umgeleitet.
D.h. , dass alle deine Benutzereingaben (wie z.B. deine Passwörter, Beutzerdaten etc.) von einem Server in der Ukraine mitgeloggt werden!

Wenn du noch einen sauberen PC zur Verfügung hast, ändere bitte unverzüglich alle deine Passwörter von diesem aus.
-----------------------------------------------------------------------

Anschließend:
Du hast hier einges an Malware laufen!
Code:
ATTFilter
O4 - HKLM\..\Run: [129.tmp] C:\Windows\temp\129.tmp
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\rqRLbbyX.dll,#1
O4 - HKCU\..\Run: [Somefox] C:\Users\****\AppData\Local\Temp\video198.cfg.exe
O4 - HKCU\..\Run: [admwebhlp] C:\ProgramData\admwebhlp\azszufwf.exe
O4 - HKCU\..\Run: [qJ2tCr4CQ2] C:\ProgramData\sjkjyhux\kjurupah.exe
O4 - HKCU\..\Run: [lphc1tjj0e9b8] C:\Windows\system32\lphc1tjj0e9b8.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdiub.exe (file missing) ← wurde wahrscheinlich schon gelöscht
         
Lade bitte bei VirusTotal - Kostenloser online Viren- und Malwarescanner folgende Dateien hoch:
Code:
ATTFilter
C:\Windows\temp\129.tmp
C:\Windows\system32\rqRLbbyX.dll
C:\ProgramData\admwebhlp\azszufwf.exe
C:\ProgramData\sjkjyhux\kjurupah.exe
C:\Windows\system32\lphc1tjj0e9b8.exe
         
Poste bitte alle Auswertungen!

Anschließend:
GMER - http://www.trojaner-board.de/74908-a...t-scanner.html
http://www.trojaner-board.de/51187-a...i-malware.html
WICHTIG: Beim Herunterladen die Datei direkt umbenennen (z.B. in bingsbums.exe )!
http://www.trojaner-board.de/74910-a...tion-tool.html
Alle Logfiles anschließend bitte in
PHP-Code:
[CODE][/CODE
posten.

Gruß
Handball10
__________________
__________________

Alt 18.02.2010, 14:26   #4
XxtremeX
 
thwc.exe macht mir das leben schwer! - Standard

thwc.exe macht mir das leben schwer!



Hi,
Ja ich schreibe wohl zu viel über icq da vernachlässige ich die satzzeichen immer^^.
Wenn ihr mir sagt wo die Avira log files sind poste ich die gerne^^ und soll ich die nicht einfach zu einer rar packen und dann hochladen? und betrifft das auch die bankdaten?

Antwort

Themen zu thwc.exe macht mir das leben schwer!
1.exe, 32-bit, adobe, antivir, avira, bho, browser, c:\windows\temp, defender, firefox, helper, hijack, hijackthis, internet, internet explorer, local\temp, magix, mozilla, object, problem, programdata, rundll, software, starten, svchost.exe, system, taskmanager, temp, viren, vista, windows, windows\temp



Ähnliche Themen: thwc.exe macht mir das leben schwer!


  1. GVU-Trojaner macht mir mein Leben schwer.
    Plagegeister aller Art und deren Bekämpfung - 21.07.2013 (22)
  2. mystart macht mir das Leben schwer
    Plagegeister aller Art und deren Bekämpfung - 29.09.2012 (6)
  3. (2x) Das Leben danach - Zero/Access
    Mülltonne - 23.09.2012 (3)
  4. Trojaner-Downloader macht es Virenscannern schwer
    Nachrichten - 27.01.2012 (0)
  5. Das Fake-Antivirenprogramm Security Shield macht mir das Leben schwer
    Log-Analyse und Auswertung - 12.06.2011 (2)
  6. TR/Kazy.mekml.1 macht mir ebenfalls das Leben schwer
    Plagegeister aller Art und deren Bekämpfung - 26.04.2011 (1)
  7. *Stop: 0x0000024 - Macht mir das Leben schwer
    Plagegeister aller Art und deren Bekämpfung - 11.07.2009 (4)
  8. karna.dat macht mir das leben schwer...
    Log-Analyse und Auswertung - 29.12.2008 (3)
  9. In was für einer Welt leben wir eigentlich?
    Diskussionsforum - 26.10.2008 (21)
  10. So, zurück im Leben und Logfile erstellt
    Log-Analyse und Auswertung - 03.11.2007 (1)
  11. Ein immerwiederkehrender backdoor-trojaner im temp-ordner macht mir das Leben schwer!
    Plagegeister aller Art und deren Bekämpfung - 06.04.2007 (1)
  12. anr-dateien machen mir das leben schwer...
    Log-Analyse und Auswertung - 18.12.2005 (2)
  13. Agent.bi & StartPa.Du.DLL.1 & Capi20.SYS machen mir das Leben schwer - bitteum Eure H
    Log-Analyse und Auswertung - 11.10.2005 (5)
  14. Hilfe Trojan.win32.agent.cs macht mir das Leben schwer
    Log-Analyse und Auswertung - 14.05.2005 (8)

Zum Thema thwc.exe macht mir das leben schwer! - Ich habe die ganze zeit das problem das irgendein problem mit svchost.exe da ist und der sich dann beendet...dehalb hab ich mit Avira Antivir gescannt und viren gelöscht als ich - thwc.exe macht mir das leben schwer!...
Archiv
Du betrachtest: thwc.exe macht mir das leben schwer! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.