| |
| |||||||
Log-Analyse und Auswertung: thwc.exe macht mir das leben schwer!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
11.02.2010, 22:31
| #1 |
| |  thwc.exe macht mir das leben schwer! Ich habe die ganze zeit das problem das irgendein problem mit svchost.exe da ist und der sich dann beendet...dehalb hab ich mit Avira Antivir gescannt und viren gelöscht als ich dann neugestartet habe wollte mein pc zunächst nichtmal den explorer starten was ich dann aber über taskmanager gemacht habe wobei mir direkt aufgefallen ist das eine thwc exe an ist und immer kurz noch ein zweites mal an ist unter beschreibung steht da " vGA yyPUeTTovyH ". Ich hoffe ihr könnt mir helfen  Ich hab auch schon gegooglet aber nichts gefunden hier mein hijack log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:23:40, on 03.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\ICQ6.5\ICQ.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Windows Media Player\wmplayer.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\Windows\helppane.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.defaulthomepage.info R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F3 - REG:win.ini: run= O1 - Hosts: ::1 localhost O1 - Hosts: 121.128.133.26 gwgt1.joymax.co.kr O1 - Hosts: 121.128.133.26 gwgt1.joymax.com O1 - Hosts: 121.128.133.27 gwgt2.joymax.co.kr O1 - Hosts: 121.128.133.27 gwgt2.joymax.com O1 - Hosts: 64.152.34.142 joymaxnpro.nefficient.com O1 - Hosts: 121.128.133.12 silkroadonline.net O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [129.tmp] C:\Windows\temp\129.tmp O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\rqRLbbyX.dll,#1 O4 - HKLM\..\Run: [TrayServer] C:\Program Files\MAGIX\Video_deluxe_15_Premium\TrayServer.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [Somefox] C:\Users\****\AppData\Local\Temp\video198.cfg.exe O4 - HKCU\..\Run: [admwebhlp] C:\ProgramData\admwebhlp\azszufwf.exe O4 - HKCU\..\Run: [qJ2tCr4CQ2] C:\ProgramData\sjkjyhux\kjurupah.exe O4 - HKCU\..\Run: [lphc1tjj0e9b8] C:\Windows\system32\lphc1tjj0e9b8.exe O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/5.0 (Windows; U; Windows NT 6.0; de; rv:1.9.0.7) Gecko/2009021910 Firefox/3.0.7 (.NET CLR 3.5.30729)" -"****://www.jetztspielen.ws/spiele/Race+spiele/Motor+Jump+1+(Knievel+Wild+Ride).html" O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &ieSpell Options - res://C:\Program Files\ieSpell\iespell.dll/SPELLOPTION.HTM O8 - Extra context menu item: Check &Spelling - res://C:\Program Files\ieSpell\iespell.dll/SPELLCHECK.HTM O8 - Extra context menu item: Lookup on Merriam Webster - file://C:\Program Files\ieSpell\Merriam Webster.HTM O8 - Extra context menu item: Lookup on Wikipedia - file://C:\Program Files\ieSpell\wikipedia.HTM O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Program Files\ieSpell\iespell.dll O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Program Files\ieSpell\iespell.dll O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Program Files\ieSpell\iespell.dll O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Program Files\ieSpell\iespell.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E5C870EC-68C5-41D4-8F4B-6EA4CD6E911A}: NameServer = 85.255.114.21,85.255.112.190 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2009 32-bit 32-bit (mi-raysat_3dsMax2009_32) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2009\mentalray\satellite\raysat_3dsMax2009_32server.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdiub.exe (file missing) -- End of file - 8668 bytes Mfg Und Danke schonmal im Vorraus  |
|
12.02.2010, 09:00
| #2 | |
 | thwc.exe macht mir das leben schwer! Hey,
__________________bitte tu noch folgendes: Öffne HiJackThis, scanne und fixe folgendes: Zitat:
Führe folgendes nacheinander aus: http://www.trojaner-board.de/51464-a...-ccleaner.html und http://www.trojaner-board.de/51187-a...i-malware.html aus. Poste bitte das Logfile von Malwarebytes hier hinein. Bin auf der Arbeit, melde mich heute Nachmittag wieder! |
|
12.02.2010, 10:54
| #3 |
| /// Helfer-Team  | thwc.exe macht mir das leben schwer! Moin XxtremeX und
__________________ Kleiner Tip: Satzzeichen, wie Punkt und Komma sind keine Sünde. Das macht es für uns leichter lesen  So... könntest du das Logfile von Avira posten? Es wäre schon mal gut zu sehn, was dort schon gefunden wurde. Achtung: Code:
ATTFilter O17 - HKLM\System\CCS\Services\Tcpip\..\{E5C870EC-68C5-41D4-8F4B-6EA4CD6E911A}: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.21,85.255.112.190
D.h. , dass alle deine Benutzereingaben (wie z.B. deine Passwörter, Beutzerdaten etc.) von einem Server in der Ukraine mitgeloggt werden! Wenn du noch einen sauberen PC zur Verfügung hast, ändere bitte unverzüglich alle deine Passwörter von diesem aus. ----------------------------------------------------------------------- Anschließend: Du hast hier einges an Malware laufen! Code:
ATTFilter O4 - HKLM\..\Run: [129.tmp] C:\Windows\temp\129.tmp
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\rqRLbbyX.dll,#1
O4 - HKCU\..\Run: [Somefox] C:\Users\****\AppData\Local\Temp\video198.cfg.exe
O4 - HKCU\..\Run: [admwebhlp] C:\ProgramData\admwebhlp\azszufwf.exe
O4 - HKCU\..\Run: [qJ2tCr4CQ2] C:\ProgramData\sjkjyhux\kjurupah.exe
O4 - HKCU\..\Run: [lphc1tjj0e9b8] C:\Windows\system32\lphc1tjj0e9b8.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdiub.exe (file missing) ← wurde wahrscheinlich schon gelöscht
Code:
ATTFilter C:\Windows\temp\129.tmp
C:\Windows\system32\rqRLbbyX.dll
C:\ProgramData\admwebhlp\azszufwf.exe
C:\ProgramData\sjkjyhux\kjurupah.exe
C:\Windows\system32\lphc1tjj0e9b8.exe
Anschließend: GMER - http://www.trojaner-board.de/74908-a...t-scanner.html http://www.trojaner-board.de/51187-a...i-malware.html http://www.trojaner-board.de/74910-a...tion-tool.htmlAlle Logfiles anschließend bitte in PHP-Code: Gruß Handball10
__________________ |
|
18.02.2010, 15:26
| #4 |
| | thwc.exe macht mir das leben schwer! Hi, Ja ich schreibe wohl zu viel über icq da vernachlässige ich die satzzeichen immer^^. Wenn ihr mir sagt wo die Avira log files sind poste ich die gerne^^ und soll ich die nicht einfach zu einer rar packen und dann hochladen? und betrifft das auch die bankdaten? |
|
| Themen zu thwc.exe macht mir das leben schwer! |
| 1.exe, 32-bit, adobe, antivir, avira, bho, browser, c:\windows\temp, defender, firefox, helper, hijack, hijackthis, internet, internet explorer, local\temp, magix, mozilla, object, plug-in, problem, programdata, rundll, software, starten, svchost.exe, system, taskmanager, temp, viren, vista, windows, windows\temp |
Linear-Darstellung
