TGMaker

Mir ist kürzlich aufgefallen das der Prozess "service.exe" bei mir im Leerlauf des Systems ca. 10%-14% Cpu-Auslastung hat. Nach etwas längerer suche hat sich der die Systemstart als kaohdtg.exe als Schuldiger herausgestellt.

Das wirft bei mir mehrer Fragen auf:

1.) Mein System wird eigentlich durch ein Sygate Personal Firewall und immer durch die akuellste Antivir geschütz (ausserdem liegt es hinter einer Routerfirewall). Ist dieser Schutz nich mehr ausreichent/zeitgemäß.

2.) Ich habe mal bei google nach kaohdgt gesucht wurde aber nicht fündig, vllt. habt hier ne ahnung was für eine böse Exe das ist?

3.) Der Systemstart gab als ursprungsorde der kaohdtg "C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten" an gefunden hab ich die Datei im Ordner "C:\WINDOWS\Prefetch" als KAOHDTG.EXE-1669FB99.pf. Jetzt stell ich mir die frage ob das Wirklich eine getarnte Schadsoftware oder etwas von Windows.

Vielen Danke im Voraus

TGMaker

Humdinger

Möglicherweise: Troj/Agent-FPY

Erstelle und poste bitte einen
HijackThis log

WindowsScan laden,
ausführen, Report posten

TGMaker

Naja die Datein von der kaohdtg.exe hab ich mir alle gepackt, in ein rar verzeichniss geschmissen und slebiges mal an Antivir geschickt.

Ich poste mal trotzdem beide logs obwohl ich in denen nichs ungewöhnlichs mehr drin seh

Angehängte Dateien

	hijackthis.txt (5,6 KB, 5x aufgerufen)
	PPF.txt (8,2 KB, 12x aufgerufen)

TIPower

O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)

fixen sonst alles OK

Humdinger

" kaohdtg.exe hab ich mir alle gepackt, in ein rar verzeichniss geschmissen"

Diese Datei/Dateien hier scannen lassen:
VIRUSTOTAL
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - und hier vollständig posten


Auch solltest du mal ein Onlinescan vom gesamten System machen

Onlinescan vom gesamten System (wähle Arbeitsplatz):
Kaspersky Online Scanner
benötigt ActiveX --> IE ,
d.h. du mußt dafür Active X evtl. freigeben unter Interneteinstellungen.
Report vollständig posten.

TGMaker

Der Scan von VIRUSTOTAL

Datei kaohdtg.exe empfangen 2008.04.09 18:43:16 (CET)
Status: Beendet
Ergebnis: 2/32 (6.25%)
Filter
Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.9.0 2008.04.09 -
AntiVir 7.6.0.81 2008.04.09 -
Authentium 4.93.8 2008.04.09 -
Avast 4.8.1169.0 2008.04.09 -
AVG 7.5.0.516 2008.04.09 -
BitDefender 7.2 2008.04.09 -
CAT-QuickHeal 9.50 2008.04.08 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.09 -
DrWeb 4.44.0.09170 2008.04.09 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5684 2008.04.09 -
Ewido 4.0 2008.04.09 -
F-Prot 4.4.2.54 2008.04.08 -
F-Secure 6.70.13260.0 2008.04.09 -
FileAdvisor 1 2008.04.09 -
Fortinet 3.14.0.0 2008.04.09 -
Ikarus T3.1.1.26 2008.04.09 -
Kaspersky 7.0.0.125 2008.04.09 -
McAfee 5270 2008.04.09 -
Microsoft 1.3408 2008.04.09 -
NOD32v2 3013 2008.04.09 -
Norman 5.80.02 2008.04.09 -
Panda 9.0.0.4 2008.04.08 -
Prevx1 V2 2008.04.09 Heuristic: Suspicious Self Modifying EXE
Rising 20.39.12.00 2008.04.08 -
Sophos 4.28.0 2008.04.09 -
Sunbelt 3.0.1032.0 2008.04.08 -
Symantec 10 2008.04.09 -
TheHacker 6.2.92.269 2008.04.09 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.09 -
Webwasher-Gateway 6.6.2 2008.04.09 -
weitere Informationen
File size: 303104 bytes
MD5...: ab1d09a81c7ed36f6a3ba0ff009f8449
SHA1..: 1690105f4f89ccc7013741b3b7c6e000301e526e
SHA256: d5665ec945aaa27e9c07f09fde767b5e27dde781e239134145 2db98b8ec5ce90
SHA512: 2ad156a0bc77d6d5ce7a83f7ad876145bb85e2b92c6ac937c8 177eb2e086d533
50ef559ebe8eb8a98988a92766a2d4d422524b5a4007f029a3 b34ba6ae5f3931
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x443226
timedatestamp.....: 0x3e93d9a4 (Wed Apr 09 08:28:20 2003)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x423bc 0x43000 7.98 5343e884e189b6d6d9bf4304bd4febe3
.rdata 0x44000 0xccc 0x1000 4.72 ef70aa856b8db91b4abf43d8dc806264
.data 0x45000 0x277c 0x3000 7.19 9780ae47572c3765e224ccdece3ec0f6
.rsrc 0x48000 0x1a38 0x2000 7.19 7a45254f147e79def22330205ae56938

( 7 imports )
> KERNEL32.dll: SetSystemTime, GetStdHandle, PeekNamedPipe, GetThreadContext, EnumResourceLanguagesW, SetProcessShutdownParameters, DeleteCriticalSection, PrepareTape, GetCommMask, FindFirstChangeNotificationW, CreateMutexA, GetTimeFormatA, GetStringTypeExW, GetSystemDefaultLCID, VirtualFreeEx, TlsAlloc, WriteProfileStringA, OpenMutexA, GetFileAttributesW, VirtualProtectEx, UnlockFile, GetVersionExA, DeviceIoControl, SetFileApisToANSI, DisconnectNamedPipe, GetModuleHandleA, GetStartupInfoA
> USER32.dll: GetScrollPos, CharUpperA, MapVirtualKeyExA, GetWindowThreadProcessId, CreateMDIWindowW, CreateIconFromResource, CharUpperBuffA, GetDlgItemInt, GetWindowRgn, SubtractRect, GetKeyboardLayoutNameW, GetMenuState, CreateIcon, SetWindowTextW, GetKeyboardType, SwitchToThisWindow, SetTimer, GetUserObjectInformationW, EnumWindowStationsW, OpenWindowStationA, FindWindowA, PostThreadMessageA, CharUpperW, wvsprintfW, KillTimer, CharNextExA, GetDlgItem, MapVirtualKeyExW, SetMessageQueue, SetCaretBlinkTime, UnregisterClassA, CallNextHookEx
> GDI32.dll: CreatePolyPolygonRgn, GetCharWidthA, SetDIBits, CreateScalableFontResourceW, EndPage, GetObjectType, SetPaletteEntries, SelectObject, SetWinMetaFileBits, EnumEnhMetaFile, GetCharWidthW, BeginPath, EnumObjects, ExtCreateRegion, GetKerningPairsW, PolylineTo, CreateDIBPatternBrushPt, PlayMetaFileRecord, SetMetaFileBitsEx
> comdlg32.dll: ChooseFontW
> ADVAPI32.dll: FindFirstFreeAce, RegQueryValueExW, RegDeleteKeyA, CreateServiceW, CloseEventLog, RegSetKeySecurity, CryptEncrypt, UnlockServiceDatabase, CryptSetProviderExW, GetSecurityDescriptorGroup, CryptAcquireContextA, SetAclInformation, QueryServiceStatus, CryptDestroyKey
> SHELL32.dll: ShellExecuteA, SHInvokePrinterCommandA, SHInvokePrinterCommandW, SHGetSpecialFolderPathW, -, SHGetInstanceExplorer
> MSVCRT.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramte...A91B00FF46B231

Humdinger

Das sieht ja eher nach nichts aus. Aber du hast es ja eingeschickt. Poste dann mal hier die Antwort.

TGMaker

Bis jetzt haben die noch nich geantwortet.

Humdinger

Schicke es einfach auch noch an

newvirus@kaspersky.com

Da solltest du innerhalb weniger Stunden eine Antwort erhalten


virus@pandasecurity.com

wäre auch noch eine Möglichkeit, Antwort meist nach 1-2 Tagen.