Hallo an alle!

Bin neu hier im Forum und habe ein Problem wobei ich hoffe mir kann geholfen werden.

Zuerst möchte ich vorab sagen dass ich ein relativ sicherheitsbewuster Surfer bin. ActiveX/JavaScript/JavaApplets sind bei mir generell deaktiviert. Ebenso nutze ich seit Jahren Norton Internetsecurity mit Firewall und Antivirus. Ich hatte nie ein Problem mit Viren oder ähnlichem, bis vorgestern.

Ich habe mir ein Freeware Tool heruntergeladen welches leider verseucht war. Ich versuche nun die nachfolgenden ereignisse so genau wie möglich zu schildern:

Als erstes bemerkte ich dass mein Rechner sehr langsam wurde. Im Taskmanager sah ich dann dass die Prozessorlast bei 100% lag, obwohl keine kaum Programme aktiv waren. Als ich mir dann die aktiven Prozesse anschaute sah ich zwei Prozesse die ich nicht kannte:

ishost.exe
ismon.exe

Ich bin dann direkt auf http://www.processlibrary.com gegangen und musste dort leider lesen dass diese Dateien Schädlinge sind.

Was ich direkt komisch fand war dass sich Norton nicht gemeldet hatte, obwohl AutoProtect bei mir immer an ist.

Ich habe dann einen kompletten Scan gemacht, Norton fand allerdings nichts. Das hat alles ewig lange gedauert da die Prozessorlast immer noch bei 100% war. Ich habe den Rechner dann neu gestartet. Dann meldete mein Norton dass es einen Virus gefunden hat. Der Virus hatte den Namen Downloader. Norton konnte diesen erfolgreich entfernen und er tauchte bis dahin nicht weiter auf.

Die beiden Prozesse ishost.exe und ismon.exe liefen immer noch. Ein erneuter Scan mit Norton sagte mir: Keine Vieren gefunden. Ich benutze die Version 2006 welche auch Spyware und Dialer erkennen sollte.

Ich bin dann ins Internet um nach einer Lösung zu suchen. Da meldete mein Norton dass er den Dialer.Kotu gefunden hat und ihn geblockt hat. Er hat ihn daraufhin geprüft und konnte ihn laut Norton auch entfernen. Leider tauchte die gleiche Meldung über den Dialer.Kotu von Norton immer wieder auf, ca. alle 10 Minuten. Norton hat ihn immer gelöscht aber er kam wieder.

Norton meinte die Datei um die es sich handelt liegt im Verzeichnis C:\Windows\Temp und hat den Namen Win***.tmp.exe, wobei *** sich immer geändert hat (Buchstabe und Zahlen).

Ich habe dann ins Temp Verzeichnis geschaut und fande dort immer noch eine Win***.tmp.exe die sich auch löschen lies. ebenso waren dort sehr viele Dateien von 0kb Größe mit dem Namen Win***.tmp.

Auf meine Suche nach dem ishost.exe Problem bin ich in einem Forum auf das Toll KillBox gestoßen. Habe es ausgeführt und damit leißen sich ishost.exe und ismon.exe dauerhaft löschen. Diese bin ich nun los.

Es kam aber immer noch die Meldung mit dem Dialer.Kotu von Norton, ca. alle 10 Minuten und die Win***.tmp.exe und Win***.tmp Dateien wurden auch weiter fleißig neu erstellt.

Habe dann in weiteren Foren gesucht und habe mal eine Auswertung mit HJT gemacht. Dann habe ich durch eine Anleitung zwei Tools benutzt. Eines hieß glaube ich L2M. Dieser hat Dateien auf meinem PC gefunden welche ich gelöscht habe. An den Namen des anderen kann ich mich nicht erinnern, irgendwas mit "Fix" oder "Fraud". Es lief in einer DosBox. Im Normalen Modus konnte man mit der Option 1 scannen, danach konnte man im abgesicherten Modus mit der Option 2 löschen und ebenfalls die Reg säubern.

Laut Log dieses Tools wurde auch eine Bedrohung gefunden und beseitigt.

Ich habe dann zusätzlich Ad-Aware sowie Spy Sweep installiert und laufen lassen. Ad-Aware fand nichts, Spy Sweep meinte er hätte den Trojaner WINLOGONHOOK gefunden. Ich habe ihn entfernen lassen, aber bei jedem neuen Scan von Spy Sweep war er wieder da. Es handelte sich dabei um einen Registry Eintrag.

Jetzt habe ich folgenden Stand:

Mein Norton meldet keinen Dialer.Kotu mehr. Er hat es auch nie geschafft eine neue RAS Verbindung anzulegen, das hat Norton blokiert, er kam halt nur immer wieder. ABER:

In meinem Verzeichnis C:\Windows\Temp werden weiter munter W***.tmp Dateien angelegt, aber KEINE W***.tmp.exe Dateien mehr. Die Dialer EXE scheint also weg zu sein, aber das mit den restlichen Dateien ist ja immer noch nicht normal, oder?

Nun meine drei Fragen:

1.
Habe (hatte) ich mehrere Schädlinge auf meine PC oder gehören ishost.exe, ismon.exe, Dialer.Kotu, und WINLOGONHOOK zusammen?

2.
Kann man mein Problem zuverlässig behen? Ich mache mit meinem PC auch Online Banking und weiss nicht was nun Sache ist... Wie werde ich die immer noch vorhandenen W***.tmp Dateien los. Sind diese Dateien hier bekannt? Sind das Reste vom Dialer.Kotu?

3.
Warum hat mein Autoprotect nicht reagiert. Der hätte beim Speichern der Datei doch direkt den Virus finden müssen.

Bereits vorab vielen Dank für die Hilfe.

Frank

Was ich noch vergessen habe:

Lohnt es sich dass ich noch ein HijackThis Log poste oder würdet ihr mir lieber zu einer kompletten Neuinstallation raten? Wie gesagt, die W***.tmp Dateien sind immer noch da, also läuft da noch was...

Du kannst es versuchen es zu reparieren aber ich würde dir raten Formatieren und die Festplatte neu aufsetzen das geht wesentlich schneller die datein die du auf der platte hast kannst du ja auf CDs brennen (wenn du sie unbedingt beötigst). oder du holst dir AntiVir PE Classic und machst einen System Scan (iich benutze den AntiVir PE Classic auch und ich bin Viren frei ) naja ich kenne mich da nicht so gut aus also warte lieber auf einen Administrator bis er dir antwortet und dann kannst du ja weiter sehen ob du die Festplatte formatieren musst oder ob es sich auch anders Regeln lässt

Hallo,

Zitat:

würdet ihr mir lieber zu einer kompletten Neuinstallation raten

Um einen absolut sicheren und sauberen PC zu erlangen, ist das sozusagen die Ultima Ratio.
Ein Hijack-Log wäre schon angesagt....
Du kennst Jotti oder Virustotal ? Dort kannst du verdächtige Dateien prüfen lassen,das Ergebnis kommt sofort.

Mit dem Proggi "Clear Prog 1.4.1 final" läßt sich hervorragend der angesammelte Datenmüll inclusive der "temp Ordner" entsorgen
Alle Haken die möglich sind sollten auch gesetzt werden.
Der Dialer tut dir insofern nur was ,wenn du keine DSL-Leitung nutzen kannst.
Bei DSL wählt nichts,also ist ein Dialer völlig machtlos/wirkungslos.
Irrlicht

Nachtrag
@Ghost EXE
Da du nach eigenem Bekunden eher wenig Ahnung hast,wäre ein für dich gangbarer Weg,sich durch Mitlesen und Link`s tiefer verfolgen, weiterzubilden und einzufinden in die Problematik.
Oder kürzer :Erst posten wenn man sich sehr sicher ist und keinen Murks erzählt.Die hilfesuchenden User hier verlassen sich nämlich auf dich.
Das nur ,in aller Freundschaft....

Danke für die antwort.

Ich werde mal Clear Prog laufen lassen. Ebenso werde ich die folgenden tools mal suchen lassen:

A-Squared Free von Emsisoft
Spy Sweeper von Webroot

Wenn ich damit fertig bin poste ich mal einen Hijack Log.

Die oben genannten Tools lasse ich ja am besten im abgesicherten Modus laufen, richtig?

Hier nun mein Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:41:02, on 29.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SBDrvDet] "C:\Programme\Creative\SB Drive Det\SBDrvDet.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTSysVol] "C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" /r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123788111359
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123788190937
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/SymAData.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15023/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9FF1F12A-3FE2-4F2B-8BDF-88FC9A4985BC}: NameServer = 62.220.18.8 62.72.64.241
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe


Spy Sweeper meldet mir übrigens immer noch "Trojan Agent Winlogonhook found".

Was kann ich tun, ist da noch was in der Registry?

Ich habe ein weiteres Tool laufen lassen. Dieses hat eine Process.exe gelöscht.

Danach habe ich Internet herausgefunden dass der Winlogonhook einen Registrierungseintrag erstellt, HKLM\Software\Microsft\MSSMGR.

diesen habe ich komplett gelöscht. er taucht auch nicht mehr neu auf. Spy Sweeper meldet nun nichts mehr. Dürfte damit mein Problem beseitigt sein? Win***.tmp Dateien sind auch weg.