Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: WoW - Account gehackt und nun

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.08.2009, 13:12   #1
Kezzy
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Hallo Ihr!

Problem: Diese Woche wurde mein WoW Account zweimal gehackt.
Nun bin ich mir eben nicht sicher, ob alles weg ist, was schädliche Software angeht.
Ich hab schon die hier im Foren geposteten Beiträge durchgelesen und damit mein System überprüft. Es ist auch komplett neu aufgesetzt.
Leider bin ich noch etwas unsicher ob ich alles entfernen konnte, was so entdeckt wurde.
Zur Sicherheit meines PC´s tragen die folgenden Anwendungen bei:
- Windows-Firewall
- Windows- Defender
- Avira AntiVir Personal (vollen Systemscann gemacht, updates aktuell)
- Windows- updates (aktueller Stand 28.08.2009)

So und hier mal meine Liste: HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:56, on 28.08.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16890)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Users\Kessler\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [recinfo160] c:\RecInfo\RecInfo.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PDFPrint] "C:\Program Files\PDFDrucker\PDF24Updater.exe"
O4 - HKCU\..\Run: [MBPlayer] "C:\Program Files\MB application\MBPlayer.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 4293 bytes

Danke fürs Lesen. Vieleicht erkennt hier schon wer ob sich noch etwas nicht "nützliches" verbergen tut.

Was ist das eigentlich?
> O4 - HKLM\..\Run: [recinfo160] c:\RecInfo\RecInfo.exe
oder
> O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

MfG. Kezzy

Alt 28.08.2009, 13:17   #2
Artemisea
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Hallo,

wie Du ja in meinem Beitrag schon gesehen hast, schein im Moment was unterwegs zu sein. Mich hats halt auch 2x diese Woche erwischt.

Hab jetzt erstmal bei Blizz angerufen und meinen Acc gesperrt. Werde mir jetzt auch den Blizzard Authenticator anschaffen, hoffe, daß das hilft.

Ansonsten drück ich Dir die Daumen, daß Du glimpflich davon kommst.

Gruß Arte
__________________


Alt 28.08.2009, 13:35   #3
Kezzy
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Montag früh:
> Battlenet Account wurde angelegt von "niaho^^"
> Account leer geräumt von "niaho^^"
Daraufhin hab ich Blizzard angerufen, die hatten inzwischen schon mein Account vom Battlenet getrennt. System überprüft mit allen möglichen Software, wurde auch was gefunden, entfernt und fertig. Dachte ich^^
> GM InGame zum rückerstatten meiner Items informiert,
Mittwoch früh 3.00 Uhr:
> jubeln die Items vom GM aus der Post nehmend, flog ich plötzlich aus dem Spiel,
Daraufhin:
> Battlenet Account wurde angelegt von "niaho^^"
> Account leer geräumt von "niaho^^"
> Chars gelöscht von "nihao^^"
So hab ich schon lange nicht mehr gekotzt!
> blizzard informiert,
> Account wurde gesperrt,
Musste den ne Menge Daten zu meiner Persönlichkeit schicken um mich als rechtmässiger "Besitzer" zu authen.

Ich selber hab nochmal das ganze System überprüft, diesmal vorher platt gemacht und komplett neu aufgesetzt.

> heute 9:00 Uhr Account komplett wiederhergestellt
> Ich selber hab nun einen BattleNet Account, was auch immer dieser Mist soll.
> und nun hoff ich in Frieden leben zu dürfen insofern sich nichts schädliches mehr auf meiner Platte befindet.

BattleNet Account und das vergebene Passwort wurde von einem anderen PC erstellt und angelegt (von Bekannten übers Telefon).
__________________

Alt 28.08.2009, 13:42   #4
Lucky
/// Helfer-Team
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Bitte folge der HijackThis Anleitung. -> Wichtig! Bitte im normalen Modus durchführen!
Warum hast du eigentlich noch kein einziges Vista Service Pack installiert?

Zitat:
> O4 - HKLM\..\Run: [recinfo160] c:\RecInfo\RecInfo.exe
Hast du einen OEM PC wo man sich eine Recovery CD brennen muss?
Ansonsten lade diese Datei mal bei http://www.virustotal.com hoch.
__________________
Kein Support per PM!

Geändert von Lucky (28.08.2009 um 13:54 Uhr)

Alt 28.08.2009, 13:59   #5
Kezzy
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Danke für die Antwort.

Das war mein erster Schritt die Datei dort zu überprüfen. Gab keine negativ- Meldung.

Hast du einen OEM PC wo man sich eine Recovery CD brennen muss?
Ah! Genau, ja hab ich und ja so ist es.

Ok, also sollte diese Datei mich nicht weiter beunruhigen.

MfG. Kezzy

EDIT: - mach weiter Win- Updates, HijackThis im normal Modus folgt demnächst


Geändert von Kezzy (28.08.2009 um 14:21 Uhr)

Alt 28.08.2009, 14:36   #6
Kezzy
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Zitat:
Zitat von Lucky Beitrag anzeigen
Bitte folge der HijackThis Anleitung. -> Wichtig! Bitte im normalen Modus durchführen!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:31:04, on 28.08.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9c.exe
C:\Windows\system32\SearchFilterHost.exe
D:\_HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [recinfo160] c:\RecInfo\RecInfo.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PDFPrint] "C:\Program Files\PDFDrucker\PDF24Updater.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 4637 bytes

Zitat:
Zitat von Lucky Beitrag anzeigen
Warum hast du eigentlich noch kein einziges Vista Service Pack installiert?
Kommt das nicht automatisch mit über die Windows-Updates?
Start > Windows Update
..weil das sagt mir, mein PC wäre auf dem "neusten Stand", was Updates beinhaltet. Ansonsten werd ich die da mal lieber direkt von MS downloaden!?

MfG. Kezzy

Alt 28.08.2009, 14:43   #7
Lucky
/// Helfer-Team
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Wenn es automatisch gekommen wäre, würde es im Header vom Logfile stehen.
Platform: Windows Vista (WinNT 6.00.1904) <- dort ist aber nicht von SP 1 oder SP 2 eingetragen.

Zitat:
C:\Windows\system32\Macromed\Flash\FlashUtil9c.exe
Lade die Datei bitte bei VirusTotal - Free Online Virus and Malware Scan hoch.

Dein Adobe Reader ist auch nicht mehr auf dem neusten Stand. Am besten die neuste Version herunterladen und die alte vorher deinstallieren.

Poste bitte von allen bei virustotal hochgeladenen Dateien die Links, damit ich mir die Ergebnise mal anschauen kann. Bitte auch von der recinfo.exe.
__________________
Kein Support per PM!

Alt 28.08.2009, 15:17   #8
Kezzy
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Zitat:
Zitat von Lucky Beitrag anzeigen
Wenn es automatisch gekommen wäre, würde es im Header vom Logfile stehen.
Platform: Windows Vista (WinNT 6.00.1904) <- dort ist aber nicht von SP 1 oder SP 2 eingetragen.
Dann lad ichs nun manuell runter und fertig. Danke für den Hinweis, fiel mir echt nicht auf

Zitat:
Zitat von Lucky Beitrag anzeigen
Lade die Datei bitte bei VirusTotal - Free Online Virus and Malware Scan hoch.

Poste bitte von allen bei virustotal hochgeladenen Dateien die Links, damit ich mir die Ergebnise mal anschauen kann. Bitte auch von der recinfo.exe.
Und hier die beiden Links zu den hochgeladenen Datein:
Virustotal. MD5: e344074a54e245cafc14b173884d88a0
und
Virustotal. MD5: 3a9de49ef4bed133b49b53a6016c945b

Zitat:
Zitat von Lucky Beitrag anzeigen
Dein Adobe Reader ist auch nicht mehr auf dem neusten Stand. Am besten die neuste Version herunterladen und die alte vorher deinstallieren.
Wird erledigt

MfG. Kezzy

Alt 28.08.2009, 19:03   #9
Kezzy
 
WoW - Account gehackt und nun - Icon21

WoW - Account gehackt und nun



Hi,

so nun nochmal ne Auswertung:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:32, on 28.08.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\PDFDrucker\PDF24Updater.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe
D:\_HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [recinfo160] c:\RecInfo\RecInfo.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [PDFPrint] "C:\Program Files\PDFDrucker\PDF24Updater.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 4741 bytes


Falls noch etwas auffällig ist, danke ich jetzt schon für entsprechende Hinweise.

Wunderschönes Wochenende
MfG. Kezzy

Alt 29.08.2009, 10:43   #10
Lucky
/// Helfer-Team
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Das Logfile sieht ok aus.
Mache bitte einen Scan mit Malwarebytes und führe danach bitte RSIT aus.

Habe ich das richtig verstanden das die Kennwörter schon durch den Bekannten geändert wurden? Also nicht von deinem System aus?
__________________
Kein Support per PM!

Alt 29.08.2009, 11:17   #11
Kezzy
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Zitat:
Zitat von Lucky Beitrag anzeigen
Habe ich das richtig verstanden das die Kennwörter schon durch den Bekannten geändert wurden? Also nicht von deinem System aus?
Als vorläuftige Notlösung ja. Vieleicht ein wenig paranoid, aber zu "Äppel" machen will ich mich nicht bei Blizzard.

Deine Anweisung von Vorpost führe ich gleich aus, poste dann Ergebnisse.

MfG. Kezzy

Alt 29.08.2009, 12:55   #12
Kezzy
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2712
Windows 6.0.6002 Service Pack 2

29.08.2009 13:44:41
mbam-log-2009-08-29 (13-44-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|W:\|)
Durchsuchte Objekte: 205794
Laufzeit: 1 hour(s), 19 minute(s), 31 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Sieht ja schonmal gut aus

Alt 29.08.2009, 12:57   #13
Kezzy
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



info.txt logfile of random's system information tool 1.06 2009-08-29 13:48:15

======Uninstall list======

-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\Windows\UNNeroMediaHome.exe /UNINSTALL
-->C:\Windows\UNNeroShowTime.exe /UNINSTALL
-->C:\Windows\UNNeroVision.exe /UNINSTALL
-->C:\Windows\UNRecode.exe /UNINSTALL
Adobe Flash Player 9 ActiveX-->MsiExec.exe /X{8186E1B9-DDC6-45B6-B9EB-C28947CBC4CF}
Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001}
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Curse Client-->W:\_CurseClient\Curse\uninstall.exe
FirstSteps Diagnostics-->MsiExec.exe /X{94D66D71-12F0-48A5-B46A-D4B835A0F1B7}
HijackThis 2.0.2-->"C:\Users\Kessler\Desktop\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Malwarebytes' Anti-Malware-->"D:\_Stuff_Programme\_Mbam_Scanner\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->c:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB941833)-->MsiExec.exe /I{C523D256-313D-4866-B36A-F3DE528246EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 7 Essentials-->MsiExec.exe /X{81CD6232-10F5-4832-B3DA-1B88B1571031}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
PDFCreator-->C:\Program Files\PDFCreator\unins000.exe
PDFDrucker-->"C:\Program Files\PDFDrucker\unins000.exe"
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
VIA Rhine Family Fast Ethernet Adapter-->Rundll32.exe vuins32.dll,vuins32Ex $Rhine $VIA
VideoLAN VLC media player 0.8.6e-->C:\Program Files\VideoLAN\VLC\uninstall.exe
WinRAR-->C:\Program Files\WinRAR\uninstall.exe

======Security center information======

AV: AntiVir Desktop
AS: AntiVir Desktop
AS: Windows-Defender (disabled)

======System event log======

Computer Name: LH-SAHQOMUBKF56
Event Code: 3004
Message: Vom Windows-Defender-Echtzeitschutz-Agent wurden Änderungen erkannt. Microsoft empfiehlt, die Software, die diese Änderungen vorgenommen hat, zu analysieren, um potenzielle Risiken festzustellen. Sie können anhand der Informationen über die Funktionsweise dieser Programme entscheiden, ob die Software ausgeführt werden kann oder vom Computer entfernt werden soll. Lassen Sie nur Änderungen zu, wenn das Programm oder der Softwareherausgeber vertrauenswürdig ist. Windows-Defender kann Änderungen, die Sie zugelassen haben, nicht mehr rückgängig machen.
Weitere Informationen finden Sie im Folgenden:
Nicht zutreffend
Scan-ID: {D37F5E6D-C968-4ADE-B974-02B8B640CD67}
Benutzer: LH-SAHQOMUBKF56\Administrator
Name: Unknown
ID:
Schweregrad-ID:
Kategorie-ID:
Gefundener Pfad: regkey:HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\iessetup;runonce:HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\iessetup;file: C:\Windows\system32\rundll32.exe;file:C:\Program Files\Internet Explorer\iessetup.dll
Warnungsart: Nicht klassifizierte Software
Feststellungstyp:
Record Number: 6062
Source Name: Microsoft-Windows-Windows Defender
Time Written: 20071015141130.000000-000
Event Type: Warnung
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 7036
Message: Dienst "Superfetch" befindet sich jetzt im Status "Beendet".
Record Number: 6061
Source Name: Service Control Manager
Time Written: 20071015141128.000000-000
Event Type: Informationen
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 104
Message: Die Protokolldatei "Setup" wurde gelöscht.
Record Number: 6060
Source Name: Microsoft-Windows-Eventlog
Time Written: 20071015141128.327630-000
Event Type: Informationen
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 104
Message: Die Protokolldatei "Application" wurde gelöscht.
Record Number: 6059
Source Name: Microsoft-Windows-Eventlog
Time Written: 20071015141128.312005-000
Event Type: Informationen
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 104
Message: Die Protokolldatei "System" wurde gelöscht.
Record Number: 6058
Source Name: Microsoft-Windows-Eventlog
Time Written: 20071015141128.296380-000
Event Type: Informationen
User:

=====Application event log=====

Computer Name: LH-SAHQOMUBKF56
Event Code: 6000
Message: Der Winlogon-Benachrichtigungsabonnent <SessionEnv> war nicht verfügbar, um das Benachrichtigungsereignis zu verarbeiten.
Record Number: 481
Source Name: Microsoft-Windows-Winlogon
Time Written: 20071015141317.000000-000
Event Type: Informationen
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 9009
Message: Der Desktopfenster-Manager wurde mit dem Code (0x40010004) abgebrochen.
Record Number: 480
Source Name: Desktop Window Manager
Time Written: 20071015141317.000000-000
Event Type: Informationen
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 1003
Message: Softwarelizenzierungsdienst hat die Überprüfung des Lizenzierungsstatus abgeschlossen.
Anwendungs-ID=55c92734-d682-4d71-983e-d6ec3f16059f
Lizenzierungsstatus=
{1,[9e042223-03bf-49ae-808f-ff37f128d40d, 8, 0xC004F014,0x0]}

{1,[a4eec485-e375-48b4-8f51-80d13a4086b6, 8, 0xC004F014,0x0]}

{1,[b6795467-dc45-4acf-af87-e948ee3f15f4, 8, 0xC004F014,0x0]}

{1,[bffdc375-bbd5-499d-8ef1-4f37b61c895f, 0, 0x0,0x0],[0x0,0x0,0x0,0,0,0x0],[0x0,0xFFFFFFFF,0x0,0,0,0x0],[0x0,0xFFFFFFFF,0x0,0,0,0x0],[0,0,0x0]}

{1,[f3acdd3c-119a-4932-a3d7-0b6f33a1dca9, 8, 0xC004F014,0x0]}

{1,[afd5f68f-b70f-4000-a21d-28dbc8be8b07, 8, 0xC004F014,0x0]}

Record Number: 479
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20071015141303.000000-000
Event Type: Informationen
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 1033
Message: Die Richtlinien werden ausgeschlossen, da sie nur mit dem override-only-Attribut definiert wurden.
Richtliniennamen=(IIS-W3SVC-MaxConcurrentRequests) (Telnet-Client-EnableTelnetClient) (Telnet-Client-EnableTelnetClient_w) (Telnet-Server-EnableTelnetServer) (Telnet-Server-EnableTelnetServer_w)
Anwendungs-ID=55c92734-d682-4d71-983e-d6ec3f16059f
SKU-ID=bffdc375-bbd5-499d-8ef1-4f37b61c895f
Record Number: 478
Source Name: Microsoft-Windows-Security-Licensing-SLC
Time Written: 20071015141303.000000-000
Event Type: Informationen
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 1013
Message: Der Windows-Suchdienst wurde normal beendet.

Record Number: 477
Source Name: Microsoft-Windows-Search
Time Written: 20071015141132.000000-000
Event Type: Informationen
User:

=====Security event log=====

Computer Name: LH-SAHQOMUBKF56
Event Code: 4634
Message: Ein Konto wurde abgemeldet.

Antragsteller:
Sicherheits-ID: S-1-5-7
Kontoname: ANONYMOUS-ANMELDUNG
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x2d26d

Anmeldetyp: 3

Dieses Ereignis wird generiert, wenn eine Anmeldesitzung zerstört wird. Es kann anhand des Wertes der Anmelde-ID positiv mit einem Anmeldeereignis korreliert werden. Anmelde-IDs sind nur zwischen Neustarts auf demselben Computer eindeutig.
Record Number: 935
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20071015141317.748625-000
Event Type: Überwachung erfolgreich
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 4616
Message: Die Systemzeit wurde geändert.

Antragsteller:
Sicherheits-ID: S-1-5-19
Kontoname: LOKALER DIENST
Kontodomäne: NT-AUTORITÄT
Anmelde-ID: 0x3e5

Prozessinformationen:
Prozess-ID: 0x558
Name: C:\Windows\System32\svchost.exe

Vorherige Zeit: 16:13:17 15.10.2007
Neue Zeit: 16:13:17 15.10.2007

Dieses Ereignis wird generiert, wenn die Systemzeit geändert wird. Es ist normal, dass der mit Systemberechtigung ausgeführte Windows-Zeitdienst die Systemzeit regelmäßig ändert. Andere Änderungen der Systemzeit können darauf hinweisen, dass der Computer manipuliert wird.
Record Number: 934
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20071015141317.623625-000
Event Type: Überwachung erfolgreich
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 4647
Message: Benutzerinitiierte Abmeldung:

Antragsteller:
Sicherheits-ID: S-1-5-21-2336680122-497891644-2765682053-500
Kontoname: Administrator
Kontodomäne: LH-SAHQOMUBKF56
Anmelde-ID: 0x242dd

Dieses Ereignis wird generiert, wenn eine Abmeldung initiiert wird, aber die Anzahl der Tokenreferenzen nicht Null ist und die Anmeldesitzung nicht zerstört werden kann. Es kann keiner Benutzerinitiierte Aktion erfolgen. Dieses Ereignis kann als Abmeldeereignis interpretiert werden.
Record Number: 933
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20071015141317.218255-000
Event Type: Überwachung erfolgreich
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 1100
Message: Der Ereignisprotokollierungsdienst wurde heruntergefahren.
Record Number: 932
Source Name: Microsoft-Windows-Eventlog
Time Written: 20071015141317.701750-000
Event Type: Überwachung erfolgreich
User:

Computer Name: LH-SAHQOMUBKF56
Event Code: 1102
Message: Das Überwachungsprotokoll wurde gelöscht.
Subjekt:
Sicherheits- ID: S-1-5-21-2336680122-497891644-2765682053-500
Kontoname: Administrator
Domänenname: LH-SAHQOMUBKF56
Logon-ID: 0x242dd
Record Number: 931
Source Name: Microsoft-Windows-Eventlog
Time Written: 20071015141128.327630-000
Event Type: Überwachung erfolgreich
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------

Alt 29.08.2009, 13:01   #14
Lucky
/// Helfer-Team
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



Also auf den ersten Blick sieht das gut aus. Ich lass aber nochmal jemand drüber gucken.
Was mir auffällt, der Curse Client ist ja ein Addon Verwalter. Hast du Addons für WoW installiert? Denn evtl. kann sich ja über so einen Weg Malware/Spyware und Co einschließen und deine Logindaten zum "Ersteller" übersehen.
__________________
Kein Support per PM!

Alt 29.08.2009, 13:01   #15
Kezzy
 
WoW - Account gehackt und nun - Standard

WoW - Account gehackt und nun



(Teil 1 - RSIT log)


Logfile of random's system information tool 1.06 (written by random/random)
Run by "MEINNAME" at 2009-08-29 13:48:04
Microsoft® Windows Vista™ Home Premium Service Pack 2
System drive C: has 127 GB (74%) free of 172 GB
Total RAM: 2046 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:48:10, on 29.08.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18813)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9c.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Users\"MEINNAME"\Desktop\RSIT.exe
C:\Program Files\trend micro\"MEINNAME".exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\_Stuff_Programme\_Mbam_Scanner\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - c:\Windows\system32\PSIService.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 4836 bytes

Antwort

Themen zu WoW - Account gehackt und nun
adobe, alles weg, antivir, antivir guard, avg, avgnt, avgnt.exe, avira, bho, desktop, entfernen, excel, explorer, foren, gservice, hijack, internet, internet explorer, magix, micro, microsoft, neu, nicht sicher, pdf, rundll, schädliche software, sicherheit, software, system, system32, toolbars, updates, vista, windows-firewall



Ähnliche Themen: WoW - Account gehackt und nun


  1. FB Account gehackt.
    Smartphone, Tablet & Handy Security - 20.10.2015 (8)
  2. Spam Mail vom eigenen Yahoo Account erhalten - Account gehackt?
    Log-Analyse und Auswertung - 28.08.2015 (8)
  3. WoW Account gehackt
    Log-Analyse und Auswertung - 08.10.2014 (5)
  4. E-Mail Account gehackt - unauthorisierte Mails von meinem Account werden verschickt
    Log-Analyse und Auswertung - 19.04.2014 (5)
  5. GMX Account gehackt
    Log-Analyse und Auswertung - 07.01.2014 (9)
  6. E-Mail-Account auf Mac gehackt ?
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (5)
  7. GMX Account gehackt!
    Log-Analyse und Auswertung - 08.08.2012 (0)
  8. GMX-Account gehackt ?
    Plagegeister aller Art und deren Bekämpfung - 08.06.2012 (1)
  9. Account gehackt!
    Log-Analyse und Auswertung - 08.08.2011 (19)
  10. WoW Account gehackt Analyse
    Log-Analyse und Auswertung - 27.07.2011 (1)
  11. Account gehackt
    Log-Analyse und Auswertung - 30.03.2010 (13)
  12. WoW Account 2 mal gehackt
    Log-Analyse und Auswertung - 05.02.2010 (0)
  13. Account wurde gehackt
    Log-Analyse und Auswertung - 25.01.2010 (23)
  14. wow-account gehackt
    Log-Analyse und Auswertung - 14.12.2009 (5)
  15. MSN account gehackt
    Plagegeister aller Art und deren Bekämpfung - 01.02.2009 (4)
  16. Account gehackt
    Log-Analyse und Auswertung - 24.06.2008 (1)
  17. Amazon Account gehackt + E-mail gehackt !
    Plagegeister aller Art und deren Bekämpfung - 05.05.2008 (16)

Zum Thema WoW - Account gehackt und nun - Hallo Ihr! Problem: Diese Woche wurde mein WoW Account zweimal gehackt. Nun bin ich mir eben nicht sicher, ob alles weg ist, was schädliche Software angeht. Ich hab schon die - WoW - Account gehackt und nun...
Archiv
Du betrachtest: WoW - Account gehackt und nun auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.