|
Pwtrack nach Virenscan, bitte um Rat bei Auswertung von HJT-Logfile Hallo Leute, Nochmal eine Frage von mir zu einem anderen Rechner. Als ich heute einen zusätzlichen Online-Virenscanscan durch Trend-Micro-Housecall durchführte ergab sich angeblich folgende Infektion: - Spyware_Trak_Pwstealer Für den Zugriff auf das Internet nutze ich ein eigeschränktes Konto und nur den Firefox-Browser. Ich habe CA-ETrust Antivirus instlliert. Der Rechner befindet sich hinter einem Server mit Firewall (AVM "Ken!Dsl") und Symantec-Viruskiller. Zur Sicherheit und um mir eine Neuinstallation zu ersparen (Seufz) machte ich noch einen Online-Scan via: - McAffee - Symantec Symantec (online) fand keine Infektion. McAffee (online) fand jedoch eine "hodll.dll" im Verzeichnis: "C:\Programme\cyberlink\powerdvd\hodll.dll". Eingestuft wurde die Datei als "Keylog-Hoddle" und liegt in einem Verzeichnis von dem DVD-Abspielprogramm "Power DVD". Ich habe bei Fujitsu-Siemens gerade angerufen und gefragt ob sie dort Informationen zu diesem Thema haben. Hatten Sie jedoch nicht. Die Datei "hodll.dll" habe ich mir im Editor einmal angeschaut, mir fällt da nichts weiter auf. Vielleicht könnte jemand von Euch ja mal einen helfenden Blick auf mein HijackThis-Log werfen und mir sagen ob sich darin eine Auffälligkeit findet. Da es sich im schlimmsten Fall um einen Key-Logger handeln könnte müsste ich nachvollziehen wann sich das Viech eingenistet hat, wenn Ihr im Log was findet zeigt mir bitte die entsprechende Zeile damit ich prüfen kann wann die Dateien sich eingenistet haben. Ich habe mir das Log zwar selber schon angeschaut aber da ich kein Experte in diesem Bereich bin könnte ich Rat gut brauchen. Hier also das Log für den "Administrator-User": ----------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 16:48:57, on 17.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5346.0005) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe C:\Programme\dfue\KEN!\KENCLI.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Program Files\CyberLink\PowerCinema\PCMService.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\dfue\KEN!\kentbcli.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\syst\Sun-Java\bin\jusched.exe C:\Programme\gsfx\iTunes\iTunesHelper.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\syst\Logitech\MouseWare\system\em_exec.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Internet Explorer\iexplore.exe H:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://192.168.115.2:3128/ken2000.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID} R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.2:3128;gopher=192.168.115.2:3128;http=192.168.115.2:3128;https=192.168.115.2:3128;socks=192.168.115.2:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\dfue\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\syst\Sun-Java\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\gsfx\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\dfue\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\dfue\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\dfue\Free Download Manager\dlpage.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\dfue\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\syst\Sun-Java\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\syst\Sun-Java\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.115.3:3128/ken2000.html O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - h**p://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.5.1.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148916002609 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149204835109 O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - h**p://support.f-secure.com/ols/fscax.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4805/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C5151ED1-7865-42E1-AB4F-FF2FD1F32DE3}: NameServer = 192.168.115.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{FF07293F-E989-4D12-8110-11253C94955F}: NameServer = 192.168.115.2 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\dfue\KEN!\KENCLI.EXE O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe ----------------------------------------------- Gruss aus Hamburg, Kord |
Spielst Du gern Beta-Tester von Bill G.? Das solltest Du rückgängig machen. Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido http://www.ewido.net/de/ Poste das Ergebnis. |
Zitat:
Zitat:
Log: ---- 07/17/06 21:19:09 [Info]: BlackLight Engine 1.0.42 initialized 07/17/06 21:19:09 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/17/06 21:19:10 [Note]: 7019 4 07/17/06 21:19:10 [Note]: 7005 0 07/17/06 21:19:11 [Note]: 7006 0 07/17/06 21:19:11 [Note]: 7011 1848 07/17/06 21:19:11 [Note]: 7026 0 07/17/06 21:19:12 [Note]: 7026 0 07/17/06 21:19:14 [Note]: FSRAW library version 1.7.1019 07/17/06 21:25:01 [Note]: 7007 0 ---- Zitat:
Ich werde sonst nochmal andere Online-Scanner testen. Danke für die Hilfe. |
Zitat:
Wer Beta-Tester spielt brauch sich nicht wundern, und vor allem bei auftretenden Problemen nicht am lautesten schreien, wenn sich die Probleme häufen... o.O. |
Zitat:
Zitat:
|
Zitat:
Zitat:
TO: "Ich habe dauernd Viren & Trojaner im System" Local: "Ach du schon wieder, nutzt du eigentlich immer noch Emule und Kazaa?" TO: "Ja, aber es gibt schlimmeres!!!" Local: "Aber wir haben dir doch gesagt das über Filesharing Programme viele Viren verteilt werden?!" TO: "Wie gesagt, es gibt schlimmeres!" Verstehst du nun was ich meine??? Die Beta Version ist noch nicht ausgereift, und die Empfehlung ist hierbei es wieder zu deinstallieren! Sonst haben wir vorerst dein problem gelöst und morgen sitzt du wieder hier ... :rolleyes: |
Filesharing nutze ich nicht mehr und noch nie um Software zu holen. Davon mal ab .... Du meinst also das Problem liegt am IE7 ... defenitiv? |
definitiv nicht unbedingt, aber es "kann" Auslöser dafür sein. Und um deine Probleme einzugrenzen, wäre eine Deinstallation schonmal von Vorteil... ;) |
Zitat:
|
Deinem Logfile ist meiner Ansicht nach keine Infizierung zu entnehmen! Poste gleich mal das Ergebnis vom eScan, vielleciht sieht man ja dann mehr.. ;) |
[GC]Sunny hat recht. Das sagte ich Dir schon. Wenn Du richtig lesen kannst, hast Du zwei Aufgaben von mir bekommen. Dann können wir weiter sehen. |
Zitat:
Aber lasst man gut sein, ich habe mich zur Neuinstallation entschlossen. Ist die bessere Lösung und angenehmer. Danke für Eure ... Hilfe. |
Nach der Neuinstallation hat sich gezeigt das diese "hodll.dll" eindeutig PowerDVD zu zu ordnen ist, da die Installation von der CD diese .dll mitgebracht hat. Anscheinend wurde die .dll anhand des Namens als Virus erkannt. So issas denn wohl. |
Hallo, nachdem ich nun einige Tage herumgeknoobelt und herumgegoogelt :-) habe, möchte ich abschliessend noch ein paar Infos loswerden. Vielleicht ist das ja für den einen oder anderen Interessant. Aaaalsoooooo ... Der Scan mit Trendmicro (Online) hat zwar einen "Spayware_Trak_PWStealer" angezeigt, jedoch handelt es sich dabei, in meinem Falle, um eine Datei von "TheBat 1.62r" (EMail-Programm). diesbezüglich wurde in einem englischen Forum schon einmal darüber geschrieben: h**p://www.mail-archive.com/tbudl@thebat.dutaint.com/msg91401.html Somit hat, in meinem Falle, der Online-Scan von Trendmicro eine Falschmeldung/Warnung zu Tage gebracht. Da es mir keine Ruhe ließ habe ich auf den Rechner mehrere Online-Scanner durchlaufen lassen (Symantec, McAffee, Kaspersky und Ewida) die keine Warnungen ausgespuckt haben. Zusätzlich interessant könnte sein, das auf WinME Systemen mit installierten TheBat ein "Trak_SE" gefunden wurde, wobei es sich da dann eben auch um TheBat handelte. Der IE7 war, in meinem Falle, daher wohl eher kein Problem .... nichts für ungut :party: aber das musste mal raus :blabla: . Gelernt habe ich jedoch, das der Ewida-Scanner echt nicht schlecht ist und schnell noch dazu. Nochmals danke für die schnellen Antworten und Analysen. Gruss aus Hamburg, Kord |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:11 Uhr. |
Copyright ©2000-2024, Trojaner-Board