unbekannter HiJack-Log Eintrag

ChrisAU

Guten morgen allerseits, ich plage mich gerade mit der Entfernung mehrer infizierten Dateien.

Werdegang:

gestern musste ich feststellen, dass sich auf meinem Vista-System mein Windows Defender nicht mehr aktualisieren ließ (Fehlercode 0x802440x19) beim Versuch ein Windows-Update durchzuführen erhielt ich den gleichen Fehler. Noch dazu wurde die Seite update.microsoft.com auf msn.com redirected. Nach etwas googeln erfuhr ich, dass ich mir wohl soetwas wie einen DNS-Changer eingefangen hatte, welcher mit einem tool namens Suberantispyware gefunden und beseitigt werden konnte, die updates funktionieren wieder.

Bei einem Routinecheck heute morgen mit Antivir bekam ich allerdings noch folgende Funde:


Auf der VISTA Partition:

In der Datei 'C:\Users\***\AppData\Local\Temp\tmp51D7.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/AutoR.NMY.7470.1' [trojan] gefunden

Die Datei 'C:\Users\***\AppData\Local\Temp\tmp51D7.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/AutoR.NMY.7470.1' [trojan]


Auf der XP Partition:


Die Datei 'D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp8A.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/AutoR.NMY.7470.1' [trojan]

Die Datei 'D:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp8B.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.CK.56' [trojan

Die Datei 'D:\WINDOWS\Temp\tempo-A4F.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan]

Die Datei 'D:\WINDOWS\Temp\tmp8D.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Passcrack.B' [trojan]

Die Datei 'D:\WINDOWS\Temp\tmp8E.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.CK.56' [trojan]


Beide Systeme wurden vor etwa 2 Monaten aufgesetzt, wobei ich mit XP bislang so gut wie nie gearbeitet habe.


Habe Antivir angewiesen die Dateien zu löschen, danach Neustart, 2.Scan und keine infizierten Dateien mehr gefunden. Zur Sicherheit ließ ich nochmal HiJack durchlaufen:

C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
E:\ProgVISTA\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
E:\ProgVISTA\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
E:\ProgVISTA\Opera\opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "E:\ProgVISTA\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [AnyDVD] E:\ProgVISTA\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~1.0_0\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - E:\ProgVISTA\PS\PokerStarsUpdate.exe
O13 - Gopher Prefix:
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1226217710999
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - E:\ProgVISTA\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - E:\ProgVISTA\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - http://libusb-win32.sourceforge.net - C:\Windows\system32\libusbd-nt.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: TVersityMediaServer - Unknown owner - C:\Program Files\TVersity\Media Server\MediaServer.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdtad.exe (file missing)






Was mich etwas ins grübeln bringt ist der letzte Eintrag:


O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdtad.exe (file missing)

über google finde ich über die kdtad.exe überhaupt keine brauchbaren infos, weiß jemand was das ist?