unbekannter HiJack-Log Eintrag
 

Guten morgen allerseits, ich plage mich gerade mit der Entfernung mehrer infizierten Dateien.

Werdegang:

gestern musste ich feststellen, dass sich auf meinem Vista-System mein Windows Defender nicht mehr aktualisieren ließ (Fehlercode 0x802440x19) beim Versuch ein Windows-Update durchzuführen erhielt ich den gleichen Fehler. Noch dazu wurde die Seite update.microsoft.com auf msn.com redirected. Nach etwas googeln erfuhr ich, dass ich mir wohl soetwas wie einen DNS-Changer eingefangen hatte, welcher mit einem tool namens Suberantispyware gefunden und beseitigt werden konnte, die updates funktionieren wieder.

Bei einem Routinecheck heute morgen mit Antivir bekam ich allerdings noch folgende Funde:


Auf der VISTA Partition:

In der Datei 'C:\Users\***\AppData\Local\Temp\tmp51D7.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/AutoR.NMY.7470.1' [trojan] gefunden

Die Datei 'C:\Users\***\AppData\Local\Temp\tmp51D7.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/AutoR.NMY.7470.1' [trojan]


Auf der XP Partition:


Die Datei 'D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp8A.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/AutoR.NMY.7470.1' [trojan]

Die Datei 'D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp8B.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.CK.56' [trojan

Die Datei 'D:\WINDOWS\Temp\tempo-A4F.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]

Die Datei 'D:\WINDOWS\Temp\tmp8D.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Passcrack.B' [trojan]

Die Datei 'D:\WINDOWS\Temp\tmp8E.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.CK.56' [trojan]


Beide Systeme wurden vor etwa 2 Monaten aufgesetzt, wobei ich mit XP bislang so gut wie nie gearbeitet habe.


Habe Antivir angewiesen die Dateien zu löschen, danach Neustart, 2.Scan und keine infizierten Dateien mehr gefunden. Zur Sicherheit ließ ich nochmal HiJack durchlaufen:

C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
E:\ProgVISTA\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
E:\ProgVISTA\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
E:\ProgVISTA\Opera\opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "E:\ProgVISTA\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AnyDVD] E:\ProgVISTA\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - E:\ProgVISTA\PS\PokerStarsUpdate.exe
O13 - Gopher Prefix:
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1226217710999
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\ProgVISTA\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\ProgVISTA\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\Windows\system32\libusbd-nt.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: TVersityMediaServer - Unknown owner - C:\Program Files\TVersity\Media Server\MediaServer.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdtad.exe (file missing)






Was mich etwas ins grübeln bringt ist der letzte Eintrag:


O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdtad.exe (file missing)

über google finde ich über die kdtad.exe überhaupt keine brauchbaren infos, weiß jemand was das ist?

Hi,
da sich keiner der "Großen" mit dir bis jetzt beschäftigen wollte, versuche ich dir mal zu helfen..
Bitte lade folgende Datei bei Virustotal.com hoch und lasse sie dort prüfen, poste hier dann bitte das Ergebniss.
Ich denke aber , dass da ein Rootkit( evtl auch der von dir genannte BDS )auf deinem Rechner ist, da ich aus dem HJT-Log nix unnatürliches erkennen konnte(ausser der obigen Datei) und mir das Problem nicht erklären kann

btw: hast das Dach vom HJT-Log weggelassen, weiss nicht wie aktuell dein System ist.
Hoffe konnte das hier etwas voran bringen.
MfG dborys

Danke für die Antwort
Vista home 32bit premium hat alle updates
XP noch keinen SP3 (da ich XP bislang nur eingerichtet habe, ich nutze zur Zeit nur Vista)


obige Datei kann ich nicht hochladen, da sie nicht auffindbar ist.Ich hab nun mal die History von Avira und Windows defender durchgesehen und nur folgende Einträge gefunden die in letzter Zeit infizierte *.exe Dateien aufzeigten:

Avira fand am 28.10. meinen DNS-Changer:

C:\Users\***\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XTAIW8DE\Codec.Update.v1_3368[1].exe'
enthielt einen Virus oder unerwünschtes Programm 'DR/Dldr.DNSChanger.Gen


und interessant der Defender ebenfalls am 28.10 nur 5 minuten später:

Kategorie:
Downloadtrojaner

Beschreibung:
Dieses Programm zeigt irreführende Produktmeldungen an.

Empfehlung:
Entfernen Sie diese Software unverzüglich.

Ressourcen:
service:
Windows Tribute Service

file:
C:\Windows\system32\kdpqe.exe



alle Dateien incl. der im ersten Posting bereits erwähnten sind nicht auffindbar.






update: soeben hab ich meinen morgentlichen Avira scan beendet und bekam brandneue Funde:

'C:\Windows\System32\Tools\Regexe.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Dadobra.bpa' [trojan]

und

'D:\Windows\System32\Tools\Regexe.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Dadobra.bpa' [trojan]