Aktiver Systemprozess mkaa.dll

Hallo ans Forum,

der Security Taskmanager gibt mir gleich an erster Stelle die Datei mkaa.dll als zu 100% gefährlichen Prozess an. Ort der Datei: c:\Windows\System32  läuft als Internet Browser-Erweiterung, Hersteller unbekannt.
Googlen brachte wegen unzureichender Englischkenntnisse keine Erleuchtung.

Könnt Ihr mir sagen, was das für eine Datei ist und vor allem, wo sie herkommt? Ich bin wegen der ganzen Eigenarten des heutigen Tages richtig verunsichert.

Ausgangspunkt für die Suche war eigentlich eine Virenwarnung von AntiVir während des surfens. Der Rechner schlief richtig ein und war nur durch mehrfaches aktivieren des Taskmanagers (Windows) zu folgender Fehlermeldung zu bewegen: Er meldete das eine Datei EXP/MS05-013 gefunden und isoliert wurde. Danach lief der Rechner wieder sauber.

Nur jetzt stelle ich fest, dass nahezu alle installierten Spiele (cue-club, Roter Baron etc.) mit folgender Fehlermeldung abbrechen:
Error: Access violation at 0x040CC07 (tried to read from 0x0312B38E),program terminated

Jetzt bin ich restlos unsicher und habe keine Ahnung, was die Dose von mir will.
Bin für Hinweise immer dankbar.

Liebe Grüße aus Oberfranken

Uwe

*verschoben von Windows XP*

poste doch mal bitte das Log von HiJackThis; bzw. lass es auf www.hijackthis.de gleich auswerten.
http://www.wintotal.de/Software/index.php?id=2022

Hier ist er:

Logfile of HijackThis v1.99.1
Scan saved at 19:35:53, on 04.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Skype Telefonie\Phone\Skype.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
C:\lmplus\LMI_V118.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Beate\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {46ecdbea-47ba-4a9f-b3fb-14825c3207b0} - C:\WINDOWS\system32:mkaa.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] G:\Skype Telefonie\Phone\Skype.exe /nosplash /minimized
O4 - Startup: Lmiagent.lnk = C:\lmplus\lmiAgent.exe
O4 - Global Startup: HPAiODevice(hp officejet k series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet k series\Bin\hpoorn07.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1A18FE14-BE0D-11D3-BCB4-005056333319} (Zoom Teletext Control) - https://secure.zoom.de/rtlmm/cug/textzoom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) - http://real.gamehouse.com/games/tumblebugs/axhost.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {F5EDCD56-696F-4C50-BE2D-83871EFD0707} (Mylmweb.MyLmwebCTL) - http://www.mylmweb.de/lmi/codemod/MyLmweb.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC1855DA-4F4A-4EF4-B41B-EC9E82D695E7}: NameServer = 192.168.178.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CompiCleanNT5 Server (CCNTSVR) - Klofisch.com - G:\Sytemprogramme\CompiCleanNT5\CCNTSVR.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

mmhmmmm ..

installier mal Ad-Aware + aktualisierung!!! und scanne damit
http://www.wintotal.de/Software/index.php?rb=31&id=89

+ Virenscanner Upate + Scan

Nun, ich habe Spyboot drauf und wollte nun nicht noch AD runterziehen, weil ich nicht weis, ob die sich vertragen. Ich habe Spyboot laufen lassen. Folgende Sachen wurden gefunden:

ErrorGuard mit drei Einträgen:

ClassID: HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{205FF738-CA67-11D5-99DD-444553540011}

Root class:

wie oben ab ...classes\Install.Install

Root class

wie oben ab ...classes\Install.Install.1


WhenU.Search.Desktoptoolbar mit zwei Einträgen:

Ausführbare Datei in c:\Programme\VVSN\VVSN.exe

Daten in
c:\Programme\VVSN\vvsn.cfg


NewDotNet mit einem Eintrag:

Programmverzeichnis in
c:\Programme\NewDotNet\


und dann nochmal WhenU.Search mit zwei Einträgen in

Programmverzeichnis:
c:\Programme\VVSN\

Programm directory
c:\Programme\VVSN\URL1\

Wie gesagt, ich habe keine Ahnung, was hier passiert. Bitte erklärt mir, was diese o.g. Einträge bedeuten.

Im übrigen meldete sich AntiVir in den letzten Minuten insgesamt 7 x mit einem Alarm:

TR/Dldr.Agent.BZU3

Ein isolieren ist erst nach mehrfachen Versuchen möglich :|

Für Hinweise und Hilfe bin ich dankbar.

Grüße aus Oberfranken

Uwe

bei dem starken Befall würde ich gelich neuinstallieren.

Uwe schrieb:

Nun, ich habe Spyboot drauf und wollte nun nicht noch AD runterziehen, weil ich nicht weis, ob die sich vertragen. Ich habe Spyboot  laufen lassen. Folgende Sachen

Zum Vergrößern anklicken....

die vertragen sich nicht nur, die ergänzen sich auch. zu den zweien kannst du ruhig auch noch ewido (www.ewido.net) und a² nehmen, dann noch stinger (www.nai.com/stinger) und die kiste im abgesicherten modus als administrator angemeldet scannen lassen. vorher noch die wiederherstellungsfunktion ausschalten, da sich dort die viren/trojaner auch einnisten, wenn die infizierten dateien aus dm system32 ordner stammen. (alle programme gibts auch im softwarebereich unter malware).
wenn du deses alles mal durchgeführt hast, kannst du wieder online gehn und die kiste auch nochmal online scannen lasse. scanner findest du hier www.antivirus-online.de und dann nochmal ein hijackthis log posten oder es selber hier www.hijackthis.de auswerten lassen. wenn keine malware mehr gefunden wird, die systemwiederherstellung einschalten. und mal über dein surfverhalten nachdenken: solche viecher holt man sich nicht auf nornalen websites, also mal gewisse seiten meiden

greetz

hugo

Hallo ans Forum, hallo hugo,

ich habe, wie von Dir vorgeschlagen, AD Aware und ewido runtergeladen, sodann die gesamte Sicherheits-Software (AntiVir, Spyboot, ewido, Ad Aware und Regfreeze) mit einem aktuellen update ausgestattet, die Wiederherstellungskonsole deaktiviert, Rechner im abgesicherten Modus als Admin gestartet und gescannt. Es wurden insgesamt 28 infizierte Dateien festgestellt, isoliert und gelöscht. Neustart und onlinescan waren damit i.O.

Hier nun das neue Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:25:23, on 08.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
G:\Skype Telefonie\Phone\Skype.exe
F:\Spyboot\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\lmplus\LMI_V118.EXE
C:\lmplus\LMP_V159.EXE
F:\TravelFoxx Online - Desktop Edition\traffics.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\lmplus\buma\BUMA_120.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spyboot\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zonealarm\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Skype] G:\Skype Telefonie\Phone\Skype.exe /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spyboot\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Lmiagent.lnk = C:\lmplus\lmiAgent.exe
O4 - Startup: RegFreeze.lnk = C:\Programme\RegFreeze\regfreeze.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1A18FE14-BE0D-11D3-BCB4-005056333319} (Zoom Teletext Control) - https://secure.zoom.de/rtlmm/cug/textzoom.cab
O16 - DPF: {87056D28-9730-4A47-B9F9-7E890B62C58A} (WildfireActiveXHost Class) - http://real.gamehouse.com/games/tumblebugs/axhost.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {F5EDCD56-696F-4C50-BE2D-83871EFD0707} (Mylmweb.MyLmwebCTL) - http://www.mylmweb.de/lmi/codemod/MyLmweb.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC1855DA-4F4A-4EF4-B41B-EC9E82D695E7}: NameServer = 192.168.178.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CompiCleanNT5 Server (CCNTSVR) - Unknown owner - G:\Sytemprogramme\CompiCleanNT5\CCNTSVR.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Die Auswertung bei hijacks brachte bis auf die LMplus-Geschichten und dem miniclip-Gameloader keine Warnungen. Insoweit bin ich beinahe zufrieden gewesen.
Schaut Euch bitte dieses Logfile nochmal an und sagt Eure Meinung dazu. Es scheint nämlich doch noch irgendwo was zu stecken. AntiVir gibt beim öffnen des Exploreres immer noch wiederholten Alarm wegen folgender Datei aus: TR/Dldr.Agent.BZU3.
Im normalen scan taucht der nicht auf. Der angegebene Dateifad c:\Windows\Temp\7.tmp läuft ins Nirwarna.
Die Virenmeldung kommt nach dem Wegdrücken (Löschen) bis zu 5 mal neu... dann nicht mehr.

Grüße aus Oberfranken

Uwe