Hallo wertes Trojaner-Board Team.

Habe heute meinen Grafikkartentreiber upgedatet und wollte gleich auch noch meine Autostartliste auf vordermann bringen. Da entdeckte ich eine Datei "tbhcn", und konnte leider nichts mitanfangen. Suchte über Google usw. und habe daraufhin Malwarebytes installiert. 23 Funde!

Was kann ich nun machen und wie habe ich mir sowas eingefangen. Habe Kaspersky Internet Security 2013 drauf.


lg Sven

Hi,

poste das Log von MAM (MAM starten, Reiter "Logdateien", auswählen&öffen, abkopieren und mit Code-Tags hier posten)...

Hast Du Kasperksy einen Fullscan machen lassen?

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

• Poste die Logfiles hier in den Thread

chris

Hi Chris!

Danke für deine schnelle Antwort. Habe den Scan gerade gestartet, aber leider dauert es noch ca. 2h.
Wo kann ich den kopierten Text von den LogDateien einfügen?


Woher kann ich mir das eingefangen haben?

Hi,

kopiere das Log dann hier in einen neuen Post, mit CODE-Tags versehen...
Das meiste holt man sich entweder mit verseuchten Downloads bzw. durch verseuchte Webseiten die man ansteuert... DriveByDownload und die dann Sicherheitslücken von Windows/Browser/Java/RCP etc. ausnutzen...

chris

Sorry, aber stehe wohl echt auf den Schlauch. Code-Tag? einfach den log-Text posten?

Ich denke du meinst es so.

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.14.03

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Paulchen :: PAULCHEN-PC [Administrator]

Schutz: Aktiviert

14.09.2012 15:31:19
mbam-log-2012-09-14 (15-31-19).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 219632
Laufzeit: 2 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 24
HKCR\CLSID\{00cbb66b-1d3b-46d3-9577-323a336acb50} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\wit4ie.WitBHO.2 (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\wit4ie.WitBHO (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\tdataprotocol.CTData.1 (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\tdataprotocol.CTData (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\updatebho.TimerBHO.1 (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\updatebho.TimerBHO (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\PROTOCOLS\HANDLER\BASE64 (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\PROTOCOLS\HANDLER\CHROME (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\PROTOCOLS\HANDLER\PROX (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKCR\protocols\Handler\base64|CLSID (PUP.Blabbers) -> Daten: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\protocols\Handler\chrome|CLSID (PUP.Blabbers) -> Daten: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\protocols\Handler\prox|CLSID (PUP.Blabbers) -> Daten: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Program Files (x86)\BrowserCompanion (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 11
C:\Program Files (x86)\BrowserCompanion\jsloader.dll (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BrowserCompanion\tdataprotocol.dll (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BrowserCompanion\updatebhoWin32.dll (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BrowserCompanion\blabbers-ff-full.xpi (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BrowserCompanion\blabbers-ch.crx (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BrowserCompanion\logo.ico (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BrowserCompanion\terms.lnk.url (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BrowserCompanion\toolbar.dll (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BrowserCompanion\uninstall.exe (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BrowserCompanion\updater.ini (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\BrowserCompanion\widgetserv.exe (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Code: Alles auswählenAufklappen

ATTFilter

2012/09/14 15:25:58 +0200	PAULCHEN-PC	Paulchen	MESSAGE	Starting protection
2012/09/14 15:25:58 +0200	PAULCHEN-PC	Paulchen	MESSAGE	Protection started successfully
2012/09/14 15:25:58 +0200	PAULCHEN-PC	Paulchen	MESSAGE	Starting IP protection
2012/09/14 15:26:05 +0200	PAULCHEN-PC	Paulchen	MESSAGE	IP Protection started successfully
2012/09/14 15:26:12 +0200	PAULCHEN-PC	Paulchen	MESSAGE	Starting database refresh
2012/09/14 15:26:12 +0200	PAULCHEN-PC	Paulchen	MESSAGE	Stopping IP protection
2012/09/14 15:26:12 +0200	PAULCHEN-PC	Paulchen	MESSAGE	IP Protection stopped successfully
2012/09/14 15:26:15 +0200	PAULCHEN-PC	Paulchen	MESSAGE	Database refreshed successfully
2012/09/14 15:26:15 +0200	PAULCHEN-PC	Paulchen	MESSAGE	Starting IP protection
2012/09/14 15:26:20 +0200	PAULCHEN-PC	Paulchen	MESSAGE	IP Protection started successfully
2012/09/14 15:50:56 +0200	PAULCHEN-PC	Paulchen	MESSAGE	Starting protection
2012/09/14 15:50:56 +0200	PAULCHEN-PC	Paulchen	MESSAGE	Protection started successfully
2012/09/14 15:50:56 +0200	PAULCHEN-PC	Paulchen	MESSAGE	Starting IP protection
2012/09/14 15:51:01 +0200	PAULCHEN-PC	Paulchen	MESSAGE	IP Protection started successfully
         

OTL habe ich scannen lassen und das logfile hochgeladen

Hi,

sieht soweit gut aus:
zu Blabbers: tbhcn.exe - What is tbhcn.exe ?
Einfach löschen.... MAM hat es eh gekillt...

So, noch einige Einträge zum killen:

• Doppelklick auf die OTL.exe, um das Programm auszuführen.

• Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

• Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
         

• Den roten Run Fixes! Button anklicken.

• Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

• Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

• %systemroot%\_OTL

Superantispyware (SASW):
http://www.trojaner-board.de/51871-a...tispyware.html

chris

Sorry Chris aber Kaspersky hat bis jetzt gescannt. Keine Bedrohungen. Habe auch schon das Resultat von OTL.

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Paulchen
->Temp folder emptied: 1988773899 bytes
->Temporary Internet Files folder emptied: 14318906 bytes
->FireFox cache emptied: 66906640 bytes
->Flash cache emptied: 26796314 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 32584057 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50333 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 2.031,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.61.4 log created on 09142012_200643

Files\Folders moved on Reboot...
C:\Users\Paulchen\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         

wäre denn jetzt mein System clean oder muss ich immer noch Angst haben? Wie kann ich mich denn jetzt schützen das ich mir sowas nicht noch einmal einfange? Oder wäre es besser das ganze System neu rauf zu spielen?

Hi,

sollte soweit ok sein:

Rechner absichern:

Zum Surfen Firefox mit den PlugIns "WOT" (http://filepony.de/?q=WOT) und "NoScript" (http://filepony.de/download-noscript//)) verwenden,
einen "Guest"-Account (keine Adminrechte! XP: (Schritt 6: Eingeschränkte Rechte für Viren - Schritt für Schritt: Windows XP absichern - CHIP Online,
Vista/Win7: Windows-7-Anleitung: Benutzerkonten anlegen und verwalten - NETZWELT) anlegen.

chris

Hi Chris!

Habe gestern nun doch Windows neu aufgesetzt weil es mir wirklich zu unsicher geworden ist. Superantispyware hatte mir auch über 100 Bedrohungen angezeigt (Tracking Cookies).

Habe mir von eurem Board eine Anleitung zum neu aufsetzen genommen und alles so gemacht.
Win7 mit SP1, eingeschränktes Benutzerkonto, Dienste deaktiviert, und alle Treiber rauf gespielt.

Was kann ich noch tun um mein System sauber zu halten? Was kannst du mir noch vorschlagen? (Tools, Addons für Firefox usw.)


Bin von eurem Board echt begeistert und möchte mich bei dir jetzt schon bedanken für deine Mühe

Hi,

s. letzten Post, das meiste hast Du ja schon gemacht.
Ganz wichtig: die Brain.exe. ;o)
(Nicht alle Anhänge öffnen, "seltsame" Web-Pages meiden etc....)

chris