Hallo Leute,

Nochmal eine Frage von mir zu einem anderen Rechner.

Als ich heute einen zusätzlichen Online-Virenscanscan durch Trend-Micro-Housecall durchführte ergab sich angeblich folgende Infektion:
- Spyware_Trak_Pwstealer

Für den Zugriff auf das Internet nutze ich ein eigeschränktes Konto und nur den Firefox-Browser.
Ich habe CA-ETrust Antivirus instlliert.

Der Rechner befindet sich hinter einem Server mit Firewall (AVM "Ken!Dsl") und Symantec-Viruskiller.

Zur Sicherheit und um mir eine Neuinstallation zu ersparen (Seufz) machte ich noch einen Online-Scan via:
- McAffee
- Symantec

Symantec (online) fand keine Infektion.

McAffee (online) fand jedoch eine "hodll.dll" im Verzeichnis: "C:\Programme\cyberlink\powerdvd\hodll.dll".
Eingestuft wurde die Datei als "Keylog-Hoddle" und liegt in einem Verzeichnis von dem DVD-Abspielprogramm "Power DVD".

Ich habe bei Fujitsu-Siemens gerade angerufen und gefragt ob sie dort Informationen zu diesem Thema haben.
Hatten Sie jedoch nicht.

Die Datei "hodll.dll" habe ich mir im Editor einmal angeschaut, mir fällt da nichts weiter auf.

Vielleicht könnte jemand von Euch ja mal einen helfenden Blick auf mein HijackThis-Log werfen und mir sagen ob sich darin eine Auffälligkeit findet. Da es sich im schlimmsten Fall um einen Key-Logger handeln könnte müsste ich nachvollziehen wann sich das Viech eingenistet hat, wenn Ihr im Log was findet zeigt mir bitte die entsprechende Zeile damit ich prüfen kann wann die Dateien sich eingenistet haben.

Ich habe mir das Log zwar selber schon angeschaut aber da ich kein Experte in diesem Bereich bin könnte ich Rat gut brauchen.



Hier also das Log für den "Administrator-User":
-----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 16:48:57, on 17.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\dfue\KEN!\KENCLI.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\dfue\KEN!\kentbcli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\syst\Sun-Java\bin\jusched.exe
C:\Programme\gsfx\iTunes\iTunesHelper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\syst\Logitech\MouseWare\system\em_exec.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
H:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://192.168.115.2:3128/ken2000.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.2:3128;gopher=192.168.115.2:3128;http=192.168.115.2:3128;https=192.168.115.2:3128;socks=192.168.115.2:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\dfue\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\syst\Sun-Java\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\gsfx\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\dfue\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\dfue\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Programme\dfue\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\dfue\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\syst\Sun-Java\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\syst\Sun-Java\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.115.3:3128/ken2000.html
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - h**p://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.5.1.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148916002609
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149204835109
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - h**p://support.f-secure.com/ols/fscax.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4805/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5151ED1-7865-42E1-AB4F-FF2FD1F32DE3}: NameServer = 192.168.115.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF07293F-E989-4D12-8110-11253C94955F}: NameServer = 192.168.115.2
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\dfue\KEN!\KENCLI.EXE
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

-----------------------------------------------

Gruss aus Hamburg,
Kord

Spielst Du gern Beta-Tester von Bill G.?

Das solltest Du rückgängig machen.

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.
Prüfe Dein System mit Ewido http://www.ewido.net/de/
Poste das Ergebnis.

Zitat:

Zitat von felix1

Spielst Du gern Beta-Tester von Bill G.?

Gibt schlimmeres.

Zitat:

Zitat von felix1

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Keine Funde.

Log:
----
07/17/06 21:19:09 [Info]: BlackLight Engine 1.0.42 initialized
07/17/06 21:19:09 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/17/06 21:19:10 [Note]: 7019 4
07/17/06 21:19:10 [Note]: 7005 0
07/17/06 21:19:11 [Note]: 7006 0
07/17/06 21:19:11 [Note]: 7011 1848
07/17/06 21:19:11 [Note]: 7026 0
07/17/06 21:19:12 [Note]: 7026 0
07/17/06 21:19:14 [Note]: FSRAW library version 1.7.1019
07/17/06 21:25:01 [Note]: 7007 0
----

Zitat:

Zitat von felix1

Prüfe Dein System mit Ewido http://www.ewido.net/de/
Poste das Ergebnis.

Will nicht starten.
Ich werde sonst nochmal andere Online-Scanner testen.

Danke für die Hilfe.

Zitat:

Zitat von kord

Gibt schlimmeres.

Richtig, nämlich absolut Ignorante "BETA-TESTER" ...

Wer Beta-Tester spielt brauch sich nicht wundern, und vor allem bei auftretenden Problemen nicht am lautesten schreien, wenn sich die Probleme häufen... o.O.

Zitat:

Zitat von [Gc]Sunny

Richtig, nämlich absolut Ignorante "BETA-TESTER" ...

Was soll das?

Zitat:

Zitat von [Gc]Sunny

[I]Wer Beta-Tester spielt brauch sich nicht wundern, und vor allem bei auftretenden Problemen nicht am lautesten schreien, wenn sich die Probleme häufen... o.O.

Ich schreie nicht, ich frage.

Zitat:

Zitat von kord

Ich schreie nicht, ich frage.

Du fragst nicht, sondern gibst dir deine Antworten selber...

Zitat:

...Gibt schlimmeres....

Beispiel:
TO: "Ich habe dauernd Viren & Trojaner im System"
Local: "Ach du schon wieder, nutzt du eigentlich immer noch Emule und Kazaa?"
TO: "Ja, aber es gibt schlimmeres!!!"
Local: "Aber wir haben dir doch gesagt das über Filesharing Programme viele Viren verteilt werden?!"
TO: "Wie gesagt, es gibt schlimmeres!"

Verstehst du nun was ich meine??? Die Beta Version ist noch nicht ausgereift, und die Empfehlung ist hierbei es wieder zu deinstallieren!
Sonst haben wir vorerst dein problem gelöst und morgen sitzt du wieder hier ...

Filesharing nutze ich nicht mehr und noch nie um Software zu holen.
Davon mal ab ....

Du meinst also das Problem liegt am IE7 ... defenitiv?

definitiv nicht unbedingt, aber es "kann" Auslöser dafür sein. Und um deine Probleme einzugrenzen, wäre eine Deinstallation schonmal von Vorteil...

Zitat:

Zitat von [Gc]Sunny

definitiv nicht unbedingt, aber es "kann" Auslöser dafür sein. Und um deine Probleme einzugrenzen, wäre eine Deinstallation schonmal von Vorteil...

Ok, ausser dem IE7 noch einen Hinweis auf Virulenzen aus dem HJT-Log zu bennenen?

Deinem Logfile ist meiner Ansicht nach keine Infizierung zu entnehmen!
Poste gleich mal das Ergebnis vom eScan, vielleciht sieht man ja dann mehr..

[GC]Sunny hat recht. Das sagte ich Dir schon. Wenn Du richtig lesen kannst, hast Du zwei Aufgaben von mir bekommen. Dann können wir weiter sehen.

Zitat:

Zitat von felix1

[GC]Sunny hat recht. Das sagte ich Dir schon. Wenn Du richtig lesen kannst, hast Du zwei Aufgaben von mir bekommen. Dann können wir weiter sehen.

Die "Aufgaben" wurden, soweit möglich, erledigt (was im Verlauf dieses Threads zu lesen steht ... öhäm).

Aber lasst man gut sein, ich habe mich zur Neuinstallation entschlossen.
Ist die bessere Lösung und angenehmer.

Danke für Eure ... Hilfe.

Nach der Neuinstallation hat sich gezeigt das diese "hodll.dll" eindeutig PowerDVD zu zu ordnen ist, da die Installation von der CD diese .dll mitgebracht hat. Anscheinend wurde die .dll anhand des Namens als Virus erkannt.

So issas denn wohl.

Hallo,

nachdem ich nun einige Tage herumgeknoobelt und herumgegoogelt :-) habe, möchte ich abschliessend noch ein paar Infos loswerden.

Vielleicht ist das ja für den einen oder anderen Interessant.

Aaaalsoooooo ...

Der Scan mit Trendmicro (Online) hat zwar einen "Spayware_Trak_PWStealer" angezeigt, jedoch handelt es sich dabei, in meinem Falle, um eine Datei von "TheBat 1.62r" (EMail-Programm). diesbezüglich wurde in einem englischen Forum schon einmal darüber geschrieben:
h**p://www.mail-archive.com/tbudl@thebat.dutaint.com/msg91401.html

Somit hat, in meinem Falle, der Online-Scan von Trendmicro eine Falschmeldung/Warnung zu Tage gebracht.

Da es mir keine Ruhe ließ habe ich auf den Rechner mehrere Online-Scanner durchlaufen lassen (Symantec, McAffee, Kaspersky und Ewida) die keine Warnungen ausgespuckt haben.

Zusätzlich interessant könnte sein, das auf WinME Systemen mit installierten TheBat ein "Trak_SE" gefunden wurde, wobei es sich da dann eben auch um TheBat handelte.

Der IE7 war, in meinem Falle, daher wohl eher kein Problem .... nichts für ungut aber das musste mal raus .

Gelernt habe ich jedoch, das der Ewida-Scanner echt nicht schlecht ist und schnell noch dazu.

Nochmals danke für die schnellen Antworten und Analysen.

Gruss aus Hamburg,
Kord