Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   thwc.exe macht mir das leben schwer! (https://www.trojaner-board.de/82844-thwc-exe-macht-mir-leben-schwer.html)

XxtremeX 11.02.2010 22:31
thwc.exe macht mir das leben schwer!
 
Ich habe die ganze zeit das problem das irgendein problem mit svchost.exe da ist und der sich dann beendet...dehalb hab ich mit Avira Antivir gescannt und viren gelöscht als ich dann neugestartet habe wollte mein pc zunächst nichtmal den explorer starten was ich dann aber über taskmanager gemacht habe wobei mir direkt aufgefallen ist das eine thwc exe an ist und immer kurz noch ein zweites mal an ist unter beschreibung steht da " vGA yyPUeTTovyH ". Ich hoffe ihr könnt mir helfen :heulen:

Ich hab auch schon gegooglet aber nichts gefunden hier mein hijack log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:23:40, on 03.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\helppane.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.defaulthomepage.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: run=
O1 - Hosts: ::1 localhost
O1 - Hosts: 121.128.133.26 gwgt1.joymax.co.kr
O1 - Hosts: 121.128.133.26 gwgt1.joymax.com
O1 - Hosts: 121.128.133.27 gwgt2.joymax.co.kr
O1 - Hosts: 121.128.133.27 gwgt2.joymax.com
O1 - Hosts: 64.152.34.142 joymaxnpro.nefficient.com
O1 - Hosts: 121.128.133.12 silkroadonline.net
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [129.tmp] C:\Windows\temp\129.tmp
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\rqRLbbyX.dll,#1
O4 - HKLM\..\Run: [TrayServer] C:\Program Files\MAGIX\Video_deluxe_15_Premium\TrayServer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Somefox] C:\Users\****\AppData\Local\Temp\video198.cfg.exe
O4 - HKCU\..\Run: [admwebhlp] C:\ProgramData\admwebhlp\azszufwf.exe
O4 - HKCU\..\Run: [qJ2tCr4CQ2] C:\ProgramData\sjkjyhux\kjurupah.exe
O4 - HKCU\..\Run: [lphc1tjj0e9b8] C:\Windows\system32\lphc1tjj0e9b8.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (.NET CLR 3.5.30729)" -"****://www.jetztspielen.ws/spiele/Race+spiele/Motor+Jump+1+(Knievel+Wild+Ride).html"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ieSpell Options - res://C:\Program Files\ieSpell\iespell.dll/SPELLOPTION.HTM
O8 - Extra context menu item: Check &Spelling - res://C:\Program Files\ieSpell\iespell.dll/SPELLCHECK.HTM
O8 - Extra context menu item: Lookup on Merriam Webster - file://C:\Program Files\ieSpell\Merriam Webster.HTM
O8 - Extra context menu item: Lookup on Wikipedia - file://C:\Program Files\ieSpell\wikipedia.HTM
O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Program Files\ieSpell\iespell.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5C870EC-68C5-41D4-8F4B-6EA4CD6E911A}: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdiub.exe (file missing)

--
End of file - 8668 bytes

Mfg

Und Danke schonmal im Vorraus :heilig:

Kiyoshi 12.02.2010 09:00
Hey,
bitte tu noch folgendes:
Öffne HiJackThis, scanne und fixe folgendes:
Zitat:
F3 - REG:win.ini: run=
O1 - Hosts: ::1 localhost
O1 - Hosts: 121.128.133.26 gwgt1.joymax.co.kr
O1 - Hosts: 121.128.133.26 gwgt1.joymax.com
O1 - Hosts: 121.128.133.27 gwgt2.joymax.co.kr
O1 - Hosts: 121.128.133.27 gwgt2.joymax.com
O1 - Hosts: 64.152.34.142 joymaxnpro.nefficient.com
O1 - Hosts: 121.128.133.12 silkroadonline.net
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
Falls etwas nach dem fixen nicht mehr funktioniert, kannst du die gefixten Einträge wiederherstellen- hierzu muss jedoch HJT in einem separaten Ordner laufen.(Bsp C:\HJT\ )

Führe folgendes nacheinander aus: http://www.trojaner-board.de/51464-a...-ccleaner.html
und
http://www.trojaner-board.de/51187-a...i-malware.html

aus.
Poste bitte das Logfile von Malwarebytes hier hinein.

Bin auf der Arbeit, melde mich heute Nachmittag wieder!

handball10 12.02.2010 10:54
Moin XxtremeX und :hallo:

Kleiner Tip:
Satzzeichen, wie Punkt und Komma sind keine Sünde.
Das macht es für uns leichter lesen :daumenhoc

So...

könntest du das Logfile von Avira posten? Es wäre schon mal gut zu sehn, was dort schon gefunden wurde.

Achtung:
Code:
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5C870EC-68C5-41D4-8F4B-6EA4CD6E911A}: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
Du wirst über die Ukraine umgeleitet.
D.h. , dass alle deine Benutzereingaben (wie z.B. deine Passwörter, Beutzerdaten etc.) von einem Server in der Ukraine mitgeloggt werden!

Wenn du noch einen sauberen PC zur Verfügung hast, ändere bitte unverzüglich alle deine Passwörter von diesem aus.
-----------------------------------------------------------------------

Anschließend:
Du hast hier einges an Malware laufen!
Code:
O4 - HKLM\..\Run: [129.tmp] C:\Windows\temp\129.tmp
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\rqRLbbyX.dll,#1
O4 - HKCU\..\Run: [Somefox] C:\Users\****\AppData\Local\Temp\video198.cfg.exe
O4 - HKCU\..\Run: [admwebhlp] C:\ProgramData\admwebhlp\azszufwf.exe
O4 - HKCU\..\Run: [qJ2tCr4CQ2] C:\ProgramData\sjkjyhux\kjurupah.exe
O4 - HKCU\..\Run: [lphc1tjj0e9b8] C:\Windows\system32\lphc1tjj0e9b8.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdiub.exe (file missing) ← wurde wahrscheinlich schon gelöscht
Lade bitte bei VirusTotal - Kostenloser online Viren- und Malwarescanner folgende Dateien hoch:
Code:
C:\Windows\temp\129.tmp
C:\Windows\system32\rqRLbbyX.dll
C:\ProgramData\admwebhlp\azszufwf.exe
C:\ProgramData\sjkjyhux\kjurupah.exe
C:\Windows\system32\lphc1tjj0e9b8.exe
Poste bitte alle Auswertungen!

Anschließend:
GMER - http://www.trojaner-board.de/74908-a...t-scanner.html
http://www.trojaner-board.de/51187-a...i-malware.html
WICHTIG: Beim Herunterladen die Datei direkt umbenennen (z.B. in bingsbums.exe )!
http://www.trojaner-board.de/74910-a...tion-tool.html
Alle Logfiles anschließend bitte in
PHP-Code:
[CODE][/CODE
posten.

Gruß
Handball10

XxtremeX 18.02.2010 15:26
Hi,
Ja ich schreibe wohl zu viel über icq da vernachlässige ich die satzzeichen immer^^.
Wenn ihr mir sagt wo die Avira log files sind poste ich die gerne^^ und soll ich die nicht einfach zu einer rar packen und dann hochladen? und betrifft das auch die bankdaten?


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:08 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129