Winlogonhook/Dialer.Kotu/ishost.exe/W***.tmp.exe

defleppard78

Hallo an alle!

Bin neu hier im Forum und habe ein Problem wobei ich hoffe mir kann geholfen werden.

Zuerst möchte ich vorab sagen dass ich ein relativ sicherheitsbewuster Surfer bin. ActiveX/JavaScript/JavaApplets sind bei mir generell deaktiviert. Ebenso nutze ich seit Jahren Norton Internetsecurity mit Firewall und Antivirus. Ich hatte nie ein Problem mit Viren oder ähnlichem, bis vorgestern.

Ich habe mir ein Freeware Tool heruntergeladen welches leider verseucht war. Ich versuche nun die nachfolgenden ereignisse so genau wie möglich zu schildern:

Als erstes bemerkte ich dass mein Rechner sehr langsam wurde. Im Taskmanager sah ich dann dass die Prozessorlast bei 100% lag, obwohl keine kaum Programme aktiv waren. Als ich mir dann die aktiven Prozesse anschaute sah ich zwei Prozesse die ich nicht kannte:

ishost.exe
ismon.exe

Ich bin dann direkt auf http://www.processlibrary.com gegangen und musste dort leider lesen dass diese Dateien Schädlinge sind.

Was ich direkt komisch fand war dass sich Norton nicht gemeldet hatte, obwohl AutoProtect bei mir immer an ist.

Ich habe dann einen kompletten Scan gemacht, Norton fand allerdings nichts. Das hat alles ewig lange gedauert da die Prozessorlast immer noch bei 100% war. Ich habe den Rechner dann neu gestartet. Dann meldete mein Norton dass es einen Virus gefunden hat. Der Virus hatte den Namen Downloader. Norton konnte diesen erfolgreich entfernen und er tauchte bis dahin nicht weiter auf.

Die beiden Prozesse ishost.exe und ismon.exe liefen immer noch. Ein erneuter Scan mit Norton sagte mir: Keine Vieren gefunden. Ich benutze die Version 2006 welche auch Spyware und Dialer erkennen sollte.

Ich bin dann ins Internet um nach einer Lösung zu suchen. Da meldete mein Norton dass er den Dialer.Kotu gefunden hat und ihn geblockt hat. Er hat ihn daraufhin geprüft und konnte ihn laut Norton auch entfernen. Leider tauchte die gleiche Meldung über den Dialer.Kotu von Norton immer wieder auf, ca. alle 10 Minuten. Norton hat ihn immer gelöscht aber er kam wieder.

Norton meinte die Datei um die es sich handelt liegt im Verzeichnis C:\Windows\Temp und hat den Namen Win***.tmp.exe, wobei *** sich immer geändert hat (Buchstabe und Zahlen).

Ich habe dann ins Temp Verzeichnis geschaut und fande dort immer noch eine Win***.tmp.exe die sich auch löschen lies. ebenso waren dort sehr viele Dateien von 0kb Größe mit dem Namen Win***.tmp.

Auf meine Suche nach dem ishost.exe Problem bin ich in einem Forum auf das Toll KillBox gestoßen. Habe es ausgeführt und damit leißen sich ishost.exe und ismon.exe dauerhaft löschen. Diese bin ich nun los.

Es kam aber immer noch die Meldung mit dem Dialer.Kotu von Norton, ca. alle 10 Minuten und die Win***.tmp.exe und Win***.tmp Dateien wurden auch weiter fleißig neu erstellt.

Habe dann in weiteren Foren gesucht und habe mal eine Auswertung mit HJT gemacht. Dann habe ich durch eine Anleitung zwei Tools benutzt. Eines hieß glaube ich L2M. Dieser hat Dateien auf meinem PC gefunden welche ich gelöscht habe. An den Namen des anderen kann ich mich nicht erinnern, irgendwas mit "Fix" oder "Fraud". Es lief in einer DosBox. Im Normalen Modus konnte man mit der Option 1 scannen, danach konnte man im abgesicherten Modus mit der Option 2 löschen und ebenfalls die Reg säubern.

Laut Log dieses Tools wurde auch eine Bedrohung gefunden und beseitigt.

Ich habe dann zusätzlich Ad-Aware sowie Spy Sweep installiert und laufen lassen. Ad-Aware fand nichts, Spy Sweep meinte er hätte den Trojaner WINLOGONHOOK gefunden. Ich habe ihn entfernen lassen, aber bei jedem neuen Scan von Spy Sweep war er wieder da. Es handelte sich dabei um einen Registry Eintrag.

Jetzt habe ich folgenden Stand:

Mein Norton meldet keinen Dialer.Kotu mehr. Er hat es auch nie geschafft eine neue RAS Verbindung anzulegen, das hat Norton blokiert, er kam halt nur immer wieder. ABER:

In meinem Verzeichnis C:\Windows\Temp werden weiter munter W***.tmp Dateien angelegt, aber KEINE W***.tmp.exe Dateien mehr. Die Dialer EXE scheint also weg zu sein, aber das mit den restlichen Dateien ist ja immer noch nicht normal, oder?

Nun meine drei Fragen:

1.
Habe (hatte) ich mehrere Schädlinge auf meine PC oder gehören ishost.exe, ismon.exe, Dialer.Kotu, und WINLOGONHOOK zusammen?

2.
Kann man mein Problem zuverlässig behen? Ich mache mit meinem PC auch Online Banking und weiss nicht was nun Sache ist... Wie werde ich die immer noch vorhandenen W***.tmp Dateien los. Sind diese Dateien hier bekannt? Sind das Reste vom Dialer.Kotu?

3.
Warum hat mein Autoprotect nicht reagiert. Der hätte beim Speichern der Datei doch direkt den Virus finden müssen.

Bereits vorab vielen Dank für die Hilfe.

Frank