Trojaner-Board - Autostart tbhcn, was nun?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Autostart tbhcn, was nun? (https://www.trojaner-board.de/124079-autostart-tbhcn.html)

Autostart tbhcn, was nun?

Hallo wertes Trojaner-Board Team.

Habe heute meinen Grafikkartentreiber upgedatet und wollte gleich auch noch meine Autostartliste auf vordermann bringen. Da entdeckte ich eine Datei "tbhcn", und konnte leider nichts mitanfangen. Suchte über Google usw. und habe daraufhin Malwarebytes installiert. 23 Funde!

Was kann ich nun machen und wie habe ich mir sowas eingefangen. Habe Kaspersky Internet Security 2013 drauf.

lg Sven

Hi,

poste das Log von MAM (MAM starten, Reiter "Logdateien", auswählen&öffen, abkopieren und mit Code-Tags hier posten)...

Hast Du Kasperksy einen Fullscan machen lassen?

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe

Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

Unter Extra Registry, wähle bitte Use SafeList

Klicke nun auf Run Scan links oben

Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)

Poste die Logfiles hier in den Thread

chris

Hi Chris!

Danke für deine schnelle Antwort. Habe den Scan gerade gestartet, aber leider dauert es noch ca. 2h.
Wo kann ich den kopierten Text von den LogDateien einfügen?

Woher kann ich mir das eingefangen haben?

Hi,

kopiere das Log dann hier in einen neuen Post, mit CODE-Tags versehen...
Das meiste holt man sich entweder mit verseuchten Downloads bzw. durch verseuchte Webseiten die man ansteuert... DriveByDownload und die dann Sicherheitslücken von Windows/Browser/Java/RCP etc. ausnutzen...

chris

Sorry, aber stehe wohl echt auf den Schlauch. Code-Tag? einfach den log-Text posten?

Ich denke du meinst es so.

Code:

Malwarebytes Anti-Malware (Test) 1.65.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.09.14.03
 

Windows 7 x64 NTFS

Internet Explorer 9.0.8112.16421

Paulchen :: PAULCHEN-PC [Administrator]
 

Schutz: Aktiviert
 

14.09.2012 15:31:19

mbam-log-2012-09-14 (15-31-19).txt
 

Art des Suchlaufs: Quick-Scan

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 219632

Laufzeit: 2 Minute(n), 33 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 24

HKCR\CLSID\{00cbb66b-1d3b-46d3-9577-323a336acb50} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\TypeLib\{8830DDF0-3042-404D-A62C-384A85E34833} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\Interface\{817923CB-4744-4216-B250-CF7EDA8F1767} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\wit4ie.WitBHO.2 (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\wit4ie.WitBHO (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\CLSID\{5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\TypeLib\{830B56CB-FD22-44AA-9887-7898F4F4158D} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\tdataprotocol.CTData.1 (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\tdataprotocol.CTData (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\updatebho.TimerBHO.1 (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\updatebho.TimerBHO (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BrowserCompanion (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\PROTOCOLS\HANDLER\BASE64 (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\PROTOCOLS\HANDLER\CHROME (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\PROTOCOLS\HANDLER\PROX (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Registrierungswerte: 3

HKCR\protocols\Handler\base64|CLSID (PUP.Blabbers) -> Daten: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\protocols\Handler\chrome|CLSID (PUP.Blabbers) -> Daten: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Erfolgreich gelöscht und in Quarantäne gestellt.

HKCR\protocols\Handler\prox|CLSID (PUP.Blabbers) -> Daten: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 1

C:\Program Files (x86)\BrowserCompanion (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

Infizierte Dateien: 11

C:\Program Files (x86)\BrowserCompanion\jsloader.dll (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\BrowserCompanion\tdataprotocol.dll (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\BrowserCompanion\updatebhoWin32.dll (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\BrowserCompanion\blabbers-ff-full.xpi (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\BrowserCompanion\blabbers-ch.crx (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\BrowserCompanion\logo.ico (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\BrowserCompanion\terms.lnk.url (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\BrowserCompanion\toolbar.dll (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\BrowserCompanion\uninstall.exe (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\BrowserCompanion\updater.ini (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\BrowserCompanion\widgetserv.exe (PUP.Blabbers) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Code:

2012/09/14 15:25:58 +0200        PAULCHEN-PC        Paulchen        MESSAGE        Starting protection

2012/09/14 15:25:58 +0200        PAULCHEN-PC        Paulchen        MESSAGE        Protection started successfully

2012/09/14 15:25:58 +0200        PAULCHEN-PC        Paulchen        MESSAGE        Starting IP protection

2012/09/14 15:26:05 +0200        PAULCHEN-PC        Paulchen        MESSAGE        IP Protection started successfully

2012/09/14 15:26:12 +0200        PAULCHEN-PC        Paulchen        MESSAGE        Starting database refresh

2012/09/14 15:26:12 +0200        PAULCHEN-PC        Paulchen        MESSAGE        Stopping IP protection

2012/09/14 15:26:12 +0200        PAULCHEN-PC        Paulchen        MESSAGE        IP Protection stopped successfully

2012/09/14 15:26:15 +0200        PAULCHEN-PC        Paulchen        MESSAGE        Database refreshed successfully

2012/09/14 15:26:15 +0200        PAULCHEN-PC        Paulchen        MESSAGE        Starting IP protection

2012/09/14 15:26:20 +0200        PAULCHEN-PC        Paulchen        MESSAGE        IP Protection started successfully

2012/09/14 15:50:56 +0200        PAULCHEN-PC        Paulchen        MESSAGE        Starting protection

2012/09/14 15:50:56 +0200        PAULCHEN-PC        Paulchen        MESSAGE        Protection started successfully

2012/09/14 15:50:56 +0200        PAULCHEN-PC        Paulchen        MESSAGE        Starting IP protection

2012/09/14 15:51:01 +0200        PAULCHEN-PC        Paulchen        MESSAGE        IP Protection started successfully

OTL habe ich scannen lassen und das logfile hochgeladen

Hi,

sieht soweit gut aus:
zu Blabbers: tbhcn.exe - What is tbhcn.exe ?
Einfach löschen.... MAM hat es eh gekillt...

So, noch einige Einträge zum killen:

Doppelklick auf die OTL.exe, um das Programm auszuführen.

Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.

Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"

http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif

Code:

:OTL

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
 

:Commands

[purity]

[emptytemp]

[CREATERESTOREPOINT]

[Reboot]

Den roten Run Fixes! Button anklicken.

Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.

Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:

%systemroot%\_OTL

Superantispyware (SASW):
http://www.trojaner-board.de/51871-a...tispyware.html

chris

Sorry Chris aber Kaspersky hat bis jetzt gescannt. Keine Bedrohungen. Habe auch schon das Resultat von OTL.

Code:

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Paulchen

->Temp folder emptied: 1988773899 bytes

->Temporary Internet Files folder emptied: 14318906 bytes

->FireFox cache emptied: 66906640 bytes

->Flash cache emptied: 26796314 bytes

 

User: Public

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 32584057 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50333 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 2.031,00 mb

 

Restore point Set: OTL Restore Point

 

OTL by OldTimer - Version 3.2.61.4 log created on 09142012_200643
 

Files\Folders moved on Reboot...

C:\Users\Paulchen\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
 

PendingFileRenameOperations files...
 

Registry entries deleted on Reboot...

wäre denn jetzt mein System clean oder muss ich immer noch Angst haben? Wie kann ich mich denn jetzt schützen das ich mir sowas nicht noch einmal einfange? Oder wäre es besser das ganze System neu rauf zu spielen?

Hi,

sollte soweit ok sein:

Rechner absichern:

Zum Surfen Firefox mit den PlugIns "WOT" (http://filepony.de/?q=WOT) und "NoScript" (http://filepony.de/download-noscript//)) verwenden,
einen "Guest"-Account (keine Adminrechte! XP: (Schritt 6: Eingeschränkte Rechte für Viren - Schritt für Schritt: Windows XP absichern - CHIP Online,
Vista/Win7: Windows-7-Anleitung: Benutzerkonten anlegen und verwalten - NETZWELT) anlegen.

chris

Hi Chris!

Habe gestern nun doch Windows neu aufgesetzt weil es mir wirklich zu unsicher geworden ist. Superantispyware hatte mir auch über 100 Bedrohungen angezeigt (Tracking Cookies).

Habe mir von eurem Board eine Anleitung zum neu aufsetzen genommen und alles so gemacht.
Win7 mit SP1, eingeschränktes Benutzerkonto, Dienste deaktiviert, und alle Treiber rauf gespielt.

Was kann ich noch tun um mein System sauber zu halten? Was kannst du mir noch vorschlagen? (Tools, Addons für Firefox usw.)

Bin von eurem Board echt begeistert und möchte mich bei dir jetzt schon bedanken für deine Mühe

Hi,

s. letzten Post, das meiste hast Du ja schon gemacht.
Ganz wichtig: die Brain.exe. ;o)
(Nicht alle Anhänge öffnen, "seltsame" Web-Pages meiden etc....)

chris