Hallo zusammen, habe heute festgestellt, dass ich wieder mal irgendein Problem habe, ich weiß jedoch nicht was genau es ist und ob es überhaupt bösartig ist. Mein Kaspersky macht mich aufmerksam, dass ständig irgendwelche Dateien verändert werden, ausgehend von der Datei wkssvr.exe. Weder der Adaware Antispy noch der Kaspersky finden irgendwelche Probleme. Ich weiß auch nicht woher diese Datei stammt. Jedenfalls habe ich eine gleichnamige Datei auf meinem Rechner, welche jedoch genau so alt ist wie mein System selbst, aber mit einem noch älteren Änderungsdatum(?).

Hier ist mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:12:19, on 30.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\PELMICED.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINNT\system32\internat.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\UltimateZip\uzqkst.exe
C:\WINNT\System32\cidaemon.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINNT\system32\wkssvr.exe
C:\WINNT\system32\taskmgr.exe
C:\Internetsicherheit\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
F2 - REG:system.ini: Shell=Explorer.exe wkssvr.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,wkssvr.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\RunServices: [Windows Kernel System Service] wkssvr.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136443494234
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINNT\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Die beiden Einträge F2 und O4 - HKLM\..\RunServices: [Windows Kernel System Service] wkssvr.exe
stehen definitiv erst seit Kurzem da. Des Weiteren weiß ich nicht was der Eintrag O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
zu bedeuten hat, diesen bekomme ich aber auch nicht weg. Kann das evtl. damit zusammenhängen, dass ich nur eine Testversion von Kaspersky 6.0 habe?
Kann mir da jemand sagen was und ob da zu tun ist?

Vielen Dank im Voraus für Eure Hilfe

Hallo ivan81,

in Deinem System ist DIESER aktiv.

Bei einem derartigen Befall ( Backdoor ) ist nur eine Neuinstallation die einzigste Möglichkeit ein vertrauenswürdiges System wiederherzustellen.

Anleitung --> http://www.trojaner-board.de/showthread.php?t=12154

dartus

Vielen Dank erstmal an Dartus. Ich habe schon oft gedacht, dass es Zeit ist das System neu zu installieren. Ich habe aber ein Problem. Der Rechner auf dem ich arbeite ist ein ausgemusterter Firmenrechner. Es wurden kurz vor Erhalt des PC die Originalprogramme installiert, jedoch habe ich keinerlei Software dazuerhalten, somit ist es mir auch nicht möglich das System neu zu installieren. Gibt es nicht irgendeine Alternative?