Hallo Trojaner-board Community,

ich habe folgendes Problem:

Seit dem ich für WoW einen "RealID Blocker" installiert habe, der die Firewall bearbeitet so dass man in WoW nicht mehr als online angezeigt wird, kann ich mich bei kaum einer Internetseite mehr einloggen. z.B. onlinebanking, email Adresse, Foren etc.


Mein Betriebssystem ist W7 64x. Die Firewall habe ich bereits auf den Standard zurück gesetzt.

Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:12:22, on 07.08.2011
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16800)
Boot mode: Normal

Running processes:
C:\Windows\SysWOW64\Ctxfihlp.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Razer\Lachesis\razerhid.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Razer\Lachesis\razerofa.exe
C:\Windows\SysWOW64\CTXFISPI.EXE
C:\Users\Sebastian\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Sebastian\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Users\Sebastian\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Users\Sebastian\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Users\Sebastian\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Sebastian\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.hotspotshield.com/g/?c=h
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: Brothersoft Toolbar - {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - C:\Program Files (x86)\Brothersoft\tbBrot.dll
F2 - REG:system.ini: UserInit=c:\windows\syswow64\userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Use the DivX Plus Web Player to watch web videos with less interruptions and smoother playback on supported sites - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Program Files (x86)\DivX\DivX Plus Web Player\npdivx32.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

_______________________

Mein Bruder hat das gleiche Problem seit er dieses Programm hat. (Es erfordert keine Installation)

Betriebssystem W7 Home Premium 64x

MFG
Fardret

Leider 2 Minuten zu spät rausgefunden wie ich die Anhänge verwalte.

Deswegen post ich den OTL Log im Anhang!

Zitat:

Seit dem ich für WoW einen "RealID Blocker" installiert habe

Schön blöd

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom:


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Leider ist der Download grade Offline. Ich werd es immer wieder versuchen und dann meine Logs posten. Danke schonmal für die Antwort

Kann mir wer sagen ob der Link wirklich offline ist oder ob es an meinem Problem liegt?

Wenn wir wissen würden welchen Link du meinst, könnte man tatsächlich eine Aussage machen

Den DLLink von Malwarebytes

Das schon probiert => http://www.trojaner-board.de/82699-m...tet-nicht.html
Ggf im Zusammenhang mit dem random installer probieren, falls man schon Probleme bei der Installation bzw. beim Download hat => http://malwarebytes.org/mbam-download-exe-random.php

Ich kann das Programm nichtmal downloaden. Daher hab ich auch noch keine Startprobleme.

Malwarebytes Anti-Malware Download - Malwarebytes Anti-Malware 1.51.1

Dieser Link funktioniert bei mir nicht. Wenn ich dort den Download starte kommt nach einer Zeit:
https://store.malwarebytes.org/342/cookie?affiliate=15727&redirectto=http%3A%2F%2Ffilepony.de%2Fdl-bWJhbS1zZXR1cC0xLjUxLjEuMTgwMC5leGU%3D-malwarebytes_anti_malware-1310832273-9128070%2Fmbam-setup-1.51.1.1800.exe&product=29945

"Diese Webseite ist nicht verfügbar.
Google Chrome konnte die Webseite nicht laden, weil store.malwarebytes.org zu lange zum Antworten benötigt. Möglicherweise ist die Website inaktiv oder es gibt Probleme mit Ihrer Internetverbindung." Wie überall halt ...

Kannst du das von hier laden? => File-Upload.net - 6mzvwb5s5.exe
Hab das Random-Setup da mal abgelegt.

Ja funktioniert. Gibt es vllt. eine andere Möglichkeit zu schreiben? Glaube das wäre besser und würde schneller gehen

Hier übrigens ein paar Infos über das Programm bzw. den original Thread

_______________________________________________________

Introducing a project that spawned from the idea here.

As some one who has Real ID friends who are constantly bugging them when they **** (whether they know I **** or not, some do and that's why they bug meh ) I started looking for an easy, and hasslefree way of temporarily disabling Real ID. Some thing that all I would have to do is hit a button or two then start ******* in peace. Well, I've found a way!

Here is a program I made that I think is the closest thing to an on-off switch that I'm going to get.




+ What it does and how it works +
The WoW client connects to the IP 12.129.206.130 (US servers) or 213.248.127.130 (EU servers) on usually TCP port 1119 (it will now try another port if 1119 is blocked as of 4.0) when you start the game along with the game servers IP and game port. All my program does is add a Windows Firewall Rule using netsh to block all outgoing TCP connections for remote IP 12.129.206.130 (or 213.248.127.130). Here's the result:



+ Readme +
1. Log in and pick a character
2. Disable Real ID by choosing 1, 2, or 3 depending on whether you are playing on US or EU (or both) servers
3. Send a broadcast message to your friends
4. Done! ##### in peace! Play in peace! Do whatever!
5. When you want to turn Real ID back on simply choose 4 then restart WoW

You have to run this program as an Administrator and it requires that Windows Firewall be turned on. Please restart WoW after you re-enable. You cannot log into WoW with Real ID disabled.

This will only work on Windows 7 and Vista for the time being since the netsh command was changed in Windows Vista. A version for Windows XP is coming soon.

+ How to do this manually +
Please check your third-party firewalls' documentation/help menus on how to block ports if you are unsure how to.
1. Log in and pick a character
2. Block all outgoing connections for remote IP 12.129.206.130 (or 213.248.127.130 if you play on EU servers) with your firewall
3. Send a broadcast message to your friends
4. Done! ##### in peace! Play in peace! Do whatever!
5. When you want to turn Real ID back on simply remove the block then log out completely or restart WoW

Was meinst du mit schreiben? Hilfe gibt es hier nur im Forum und nicht über ICQ falls du das meinst!

Alles klar. Scan läuft seit 1 Stunde ... Poste dann das Log wie oben gewünscht genauso wie OTL Custom Scan ... Hoffe du kannst mir helfen ... schon in sovielen Foren geschrieben ...

Malwarebytes ist durchgelaufen und hat sogar 2 Sachen gefunden ... Glaube aber die haben nichts mit dem eigentlichem problem zutun.

OTL Custom Log:

Zitat:

HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Bifrose.Trace) -> No action taken.

c:\Windows\ktd32.atm (Backdoor.ProRat) -> No action taken.

Hast du mit Bifrost und ProRAT mal experimentiert?
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.