3C_Atom.exe und 3cwzcs.exe was ist das?

#1 Hei zusammen,
3C_Atom.exe und 3cwzcs.exe was ist das? Finde nichts bei Google.
Daanke für die Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 22:59:26, on 23.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\passrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\psimsvc.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\3C_Atom.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Programme\Ahead\Nero BackItUp\NBJ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Roxio\GoBack\GBTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\WebProxy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\ad\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpoofStick BHO - {CBA74CDA-DF78-4AD9-954E-3B15D0A993DE} - C:\Programme\CoreStreet\SpoofStick\SpoofStickBHO.dll
O3 - Toolbar: SpoofStick - {4D46ED77-1429-4CF6-8F63-C84B5D710BAF} - C:\Programme\CoreStreet\SpoofStick\SpoofStick.dll
O4 - HKLM\..\Run: [3C_Atom] C:\WINDOWS\3C_Atom.exe C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\?3Com Launcher.lnk?C:\Programme\3Com\Launcher.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [QCTRAY] C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [3cwzcs] C:\DOKUME~1\ad\LOKALE~1\Temp\3cwzcs.exe disable
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Logo Calibration Loader.lnk = C:\Programme\GretagMacbeth\i1\Eye-One Match 3\CalibrationLoader\CalibrationLoader.exe
O4 - Global Startup: ProfileReminder.lnk = C:\Programme\GretagMacbeth\i1\Eye-One Match 3\ProfileReminder.exe
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\ThinkPad\PkgMgr\\PkgMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF4391E3-33D3-41CA-913E-DF1503689470}: NameServer = 192.168.1.1
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: GBPoll - Roxio, Inc. - C:\Programme\Roxio\GoBack\GBPoll.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Panda Antispam Service (PASSRV) - Unknown owner - C:\Programme\Panda Software\Panda Platinum Internet Security\passrv.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
O23 - Service: Panda Imanager Service (PSIMSVC) - Panda Software Internacional - C:\Programme\Panda Software\Panda Platinum Internet Security\psimsvc.exe
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

#2 Hallo@loulous

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM32\tphklock.dll
C:\WINDOWS\SYSTEM32\QConGina.dll
C:\WINDOWS\3C_Atom.exe


Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [3cwzcs] C:\DOKUME~1\ad\LOKALE~1\Temp\3cwzcs.exe

PC neustarten

abhaengig von den Ergebnissen, empfehle ich dir dann einen Virenscanner (online)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,
vielen dank für deine Antwort, habe

C:\WINDOWS\SYSTEM32\tphklock.dll
C:\WINDOWS\SYSTEM32\QConGina.dll
C:\WINDOWS\3C_Atom.exe

überprüft: kein Virus!

Aber was ist das? Soll ich es fixed?
Welchen online Scanner soll ich nehmen?
Habe noch eine Datei: C:\WINDOWS\Prefetch\3C_ATOM.EXE-1E65083C.pf
gefunden.
Nochmal Danke für die Unterstüzung.

Mfg uous

#4 die Virenscanner finden nichts, aber das will nichts besagen....

arbeite das bitte ab und poste mir die 4 Logs mit der Pfadangabe oberhalb
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 anbei die 4 Logs

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34E0-397D

Verzeichnis von C:\

24.09.2005 14:08 0 sys.txt
24.09.2005 14:07 8.705 system.txt
24.09.2005 14:06 130 systemtemp.txt
24.09.2005 14:03 98.457 system32.txt
24.09.2005 12:43 13.030 PDOXUSRS.NET
24.09.2005 12:34 535.814.144 hiberfil.sys
24.09.2005 12:34 402.653.184 pagefile.sys
24.09.2005 12:32 211 boot.ini
24.09.2005 02:57 0 23990098.$$$
24.09.2005 02:57 6 AVPCallback.log
13.09.2005 14:36 317 vlist.log
06.09.2005 21:11 932 voxFcoldrv.log
18.05.2005 12:14 2.097.152.000 gobackio.bin
14.05.2005 19:24 27.262.976 VIRTPART.DAT
24.04.2005 01:07 47.564 NTDETECT.COM
24.04.2005 01:07 251.184 ntldr
07.03.2005 15:04 0 CONFIG.SYS
07.03.2005 15:04 0 MSDOS.SYS
07.03.2005 15:04 0 AUTOEXEC.BAT
07.03.2005 15:04 0 IO.SYS
18.08.2001 13:00 4.952 bootfont.bin
21 Datei(en) 3.063.307.792 Bytes
0 Verzeichnis(se), 24.656.830.464 Bytes frei


===============================


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34E0-397D

Verzeichnis von C:\WINDOWS\system32

23.09.2005 13:29 2.206 wpa.dbl
09.09.2005 05:08 2.006.368 MRT.exe
31.07.2005 19:27 525 mapisvc.inf
31.07.2005 19:27 40.998 perfc009.dat
31.07.2005 19:27 313.280 perfh009.dat
31.07.2005 19:27 49.424 perfc007.dat
31.07.2005 19:27 318.680 perfh007.dat
31.07.2005 19:27 726.560 PerfStringBackup.INI
20.07.2005 04:04 3.012.096 mshtml.dll
08.07.2005 18:28 249.344 tapisrv.dll
08.07.2005 18:28 76.800 remotesp.tsp
03.07.2005 04:15 474.112 shlwapi.dll
03.07.2005 04:15 605.696 urlmon.dll
03.07.2005 04:15 664.064 wininet.dll
03.07.2005 04:15 1.484.288 shdocvw.dll
03.07.2005 04:15 146.432 msrating.dll
03.07.2005 04:15 39.424 pngfilt.dll
03.07.2005 04:15 448.512 mshtmled.dll
03.07.2005 04:15 251.392 iepeers.dll
03.07.2005 04:15 152.064 cdfview.dll
03.07.2005 04:15 96.768 inseng.dll
03.07.2005 04:15 1.019.904 browseui.dll
30.06.2005 04:05 119.296 umpnpmgr.dll
29.06.2005 03:49 254.976 icm32.dll
29.06.2005 03:49 74.240 mscms.dll
15.06.2005 19:49 295.936 kerberos.dll
11.06.2005 01:53 57.856 spoolsv.exe
02.06.2005 04:54 140.400 FNTCACHE.DAT
27.05.2005 04:04 41.472 hhsetup.dll
27.05.2005 04:04 155.136 itircl.dll
27.05.2005 04:04 137.216 itss.dll
27.05.2005 04:04 546.304 hhctrl.ocx
26.05.2005 04:16 1.343.768 wuaueng.dll

================================

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34E0-397D

Verzeichnis von C:\WINDOWS

24.09.2005 12:34 4.704 ModemLog_Agere Systems AC'97 Modem.txt
24.09.2005 12:34 1.561.496 WindowsUpdate.log
24.09.2005 12:34 0 0.log
24.09.2005 12:34 2.048 bootstat.dat
24.09.2005 12:32 542 win.ini
24.09.2005 12:32 227 system.ini
24.09.2005 12:28 606 EventSystem.log
24.09.2005 01:11 32.540 SchedLgU.Txt
13.09.2005 14:32 50 wiaservc.log
13.09.2005 14:32 216 wiadebug.log
10.09.2005 19:51 99.970 UninstallFirefox.exe
10.09.2005 19:51 5.596 mozver.dat
06.09.2005 03:30 836.079 setupapi.log
15.08.2005 14:37 573.945 iis6.log
15.08.2005 14:37 126.649 comsetup.log
15.08.2005 14:37 79.048 ntdtcsetup.log
15.08.2005 14:37 206.782 tsoc.log
15.08.2005 14:37 1.374 imsins.log
15.08.2005 14:37 22.051 tabletoc.log
15.08.2005 14:37 16.969 ocmsn.log
15.08.2005 14:37 14.303 KB893756.log
15.08.2005 14:37 75.578 netfxocm.log
15.08.2005 14:37 20.721 medctroc.Log
15.08.2005 14:37 245.177 ocgen.log
15.08.2005 14:37 22.417 msgsocm.log
15.08.2005 14:37 472.409 FaxSetup.log
15.08.2005 14:37 151.514 msmqinst.log
15.08.2005 14:37 14.897 updspapi.log
15.08.2005 14:37 1.374 imsins.BAK
15.08.2005 14:37 13.647 KB896423.log
15.08.2005 14:36 13.435 KB899588.log
15.08.2005 14:36 13.537 KB894391.log
14.08.2005 20:08 14.312 KB899587.log
14.08.2005 20:08 13.810 KB899591.log
14.08.2005 20:08 15.230 KB896727.log
01.08.2005 16:20 116 NeroDigital.ini
31.07.2005 19:28 1.071 AWMODEM.INF
13.07.2005 00:26 10.022 KB901214.log
13.07.2005 00:26 3.811 KB903235.log

===================================

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34E0-397D

Verzeichnis von C:\DOKUME~1\ad\LOKALE~1\Temp

===================================
Hoffe das du was Findest

Danke Loulous

#6 schau mal mit rechtsklick-->Eigenschaften auf das Erstellungsdatum und vielleicht kannst du auch sehen, zu welchem Programm es gehoert.....

In den logs habe ich nichts auffaelliges sehen koennen....


das ist malware, ist aber nun geloescht....
C:\DOKUME~1\ad\LOKALE~1\Temp\3cwzcs.exe
__________
MfG Sabina

rund um die PC-Sicherheit

#7 In den Eingeschaften ist nur:

3C_Atom MFC Application
VERSION 1.0.0.5
keine Firma etc.
Das es keine Doku. über dieses Prog. gibt, ist doch nicht OK?

PS:
Habe was gefunden über :

QConGina.dll ist von IBM und scheint OK:
IBM Access Connections GINA

tphklock.dll ist eventuell auch von IBM
[url]http://www.bleepingcomputer.com/startups/TpHotKey-5821.html

[/url]

#8

Zitat

3C_Atom MFC Application
VERSION 1.0.0.5

es gehoert zu irgendeinem Tool, was du geladen hast.
du musst wissen, ob du es loeschst oder nicht....Ein Virus ist es bestimmt nicht.
__________
MfG Sabina

rund um die PC-Sicherheit