Hallo liebe Community / Helfer !

Ich habe folgendes Problem:

Mein WoW ( Computerspiel ) Account wurde gehackt.Jmd hat sich zutritt zu meinem Passwort verschafft und mir im Spiel erheblichen Schaden zufgefügt.

Dies Passierte vor ca. 2 monaten.

Ich hatte das Problem , das mein Internet nicht mehr ging und ich den PC
auf einen früheren Zeitpunkt zurück setzen musste. Danach habe ich Antivir
und Defragmentierung durchlaufen lassen. Es war alles in Ordnung und ich konnte wieder ins internet ohne irgendwelche probleme.

JEDOCH Heute kam ich online und merkte , das mein Account / WoW wieer gehackt wurde. Das Beste an der ganzen Sache ist , das es vermutlich der gleiche Hacker war , weil die Vorgehensweise die selbe war ingame.

Ich hatte in den letzen Tagen ein komisch langsames internet und habe deswegen auch wieder system zurück setzen gemacht 1 Monat zurück Antivir durchlaufen lassen , es hat aber nix gefunden.

Ich wäre sehr froh wenn ihr mir tipps geben könntet wie ich mich schützen könnte.Solltet ihr mir geholfen haben , würde ich mich auch gerne erkenntlich zeigen zeigen!

MFG Hateboi


Hier der Logfile ( ich hoffe ich habe alles geändert sowie es beschrieben wurde )



Logfile of HijackThis v1.99.1
Scan saved at 20:21:09, on 04.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - (no file)
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_48.dll
O2 - BHO: (no name) - {56F1D444-11BF-4879-A12B-79CF0177F038} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://www.flatcast.com/de/download/NpFp415.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.2.1.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Als erstes brauchen wir mehr Informationen zu deinem System, irgendwas versteckt sich da immer noch, arbeite dazu folgende Anleitungen ab:


Dies bitte durchlesen und abarbeiten -> -anleitung-zur-entfernung-new-net-spyware

desweiteren:


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Super das sind ja schnelle antworten hier

Ja ich mache sofort das was du gesagt hast und post direkt.

Ich habe ein kleines Problem bei der Auführung der mir aufgetragenen Aufgaben:

2. In den abgesicherten Modus mit Netzwerkunterstüzung wechseln.
3. Das Programm durch Doppelklick auf die Datei mwav.exe starten

Wenn ich im abgesicherten Modus bin , ist alles so riesig das ich nur 3 icons
auf dem Desktop anwählen kann ( papierkorb / spielverknüpfung/... )

Ich kann also leider nicht mwav.exe starten.

Dies war die anleitung für einen Pc mit router , ich habe einen w-lan router
und bin über w-lan im i-net , hat das damit was zu tun ?
Sry kenne mich mit Pc = 0 aus Bitte um Hilfe um weiter machen zu können.

Danke im vorraus

So ich hoffe ich habe jetzt alles geschafft.

Entschuldigung nochmal für die ungeduldigen doppel posts !

Also
Zu Punkt 2 : MWAV (eScan) habe es nach vielen Anläufen geschafft.

DATEI eScan_neu1 als Datei angehangen.

Zu Punkt 3 : Filelist so hier von jedem die letzen 30 tage.

DATEI 30tage1 und 30tage2 als Datei angehangen.

Ich musste 30tage1 und 30tage2 erstellen weil zusammen in eiem Dokument wären es 24kb gewesen = kein upload wegen 19kb grenze.


Jetzt müssen nur noch diese Viren runter vom Pc.
Ich hoffe ihr helft mir

Code: Alles auswählenAufklappen

ATTFilter

29.10.2007  20:24            56.552 TS2HACK2.EXE-029FBBFA.pf
         

Die Datei ist schon etwas, was ich komische finde. Was für einen "Hack" gibt es denn für Teamspeak? Garkeinen!?

Code: Alles auswählenAufklappen

ATTFilter

 Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\pirox b0t\readme.txt 
 Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\teamspeaktoolz\teamspeaktoolz\ts admin tools\ts multitool 2.2\readme.txt 
 Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\teamspeaktoolz\teamspeaktoolz\ts flooder\blubablub - free-hack flooder\readme.txt 
 Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\teamspeaktoolz\teamspeaktoolz\ts fun\ts volume - new version\readme.txt 
 Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\teamspeaktoolz\ts admin tools\ts multitool 2.2\readme.txt 
 Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\teamspeaktoolz\ts flooder\blubablub - free-hack flooder\readme.txt 
 Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\teamspeaktoolz\ts fun\ts volume - new version\readme.txt
         

Bei solchen Sachen wunderst du dich über die "Hacks"? (Ich weiß da das nur Textdateien sind, aber irgendwo auf dem System müssen ja dann die exe Dateien liegen)

Ich würde da bei eScan einige Malware gefunden wurde, empfehlen das System zu formatieren und neu aufzusetzen. Danach dann alle Passwörter zu ändern. Und solche Scriptkiddie Sachen vom System zu lassen.

jop ist wohl das Beste alles neu zu machen.


edit : Ich bin nicht gerade der Pc - Experte und wäre sehr froh , wenn jemand einen link posten könnte , wie man Windows neuinstalliert usw.

Moin Hateboi

lese hier nach
Windows XP Pro Installation

und

http://www.trojaner-board.de/12154-a...sicherung.html

Update Packs gibt es hier
WinFuture.de - Update Pack für Windows XP und Windows Vista
oder
Download c't Offline Update 4.1 Deutsch im heise Software-Verzeichnis

Grüße cad

Cad danke für den super post der wird mir zu 100% helfen

Ich werde mich dann mal melden wenn alles geklappt hat !

haloo

Zitat von Lucky:

Zitat:

Die Datei ist schon etwas, was ich komische finde. Was für einen "Hack" gibt es denn für Teamspeak? Garkeinen!?

Es gibt leider genug Tools zum TS2-hacken. Die oben genannten
Dateien stellen dann die Auflistungen der Logindaten oder
Flooderkombinationen dar. Meist ein riesen Spaß für Leute,
die andere im Voice-Internet ärgern wollen. Jedoch sind
die meißten inzwischen unnütze, weil die Server regelmäßig
gepatcht sind (werden können).

mfg Cleriker

Zitat:

Zitat von Lucky

[code]
Ich würde ... empfehlen das System zu formatieren und neu aufzusetzen. Danach dann alle Passwörter zu ändern.
Und solche Scriptkiddie Sachen vom System zu lassen.

@Lucky ...

FullAck.

Ja, ich dachte mir das schon. Ist mir auch egal, aber wundern muss man sich bei Benutzung von diesen Programm, das jemand an seine Zugangsdaten von Programmen/Diensten oder sonstigen kommt.

Zitat:

Zitat von Lucky

Ja, ich dachte mir das schon. Ist mir auch egal, aber wundern muss man sich bei Benutzung von diesen Programm, das jemand an seine Zugangsdaten von Programmen/Diensten oder sonstigen kommt.

Meiner Meinung hat es in diesem Fall (eventuell!) einen gewissen Lerneffekt wenn man hier nur noch zu einer Neuinstallation rät.

Die Antwort auf auf Cleriker bezogen. Hatte nicht gesehen, das wir mittlerweile auf Seite 2 angekommen sind. Ich hoffe das es ein Lerneffekt ist.

Zitat:

Zitat von Lucky

Die Antwort auf auf Cleriker bezogen. Hatte nicht gesehen, das wir mittlerweile auf Seite 2 angekommen sind. Ich hoffe das es ein Lerneffekt ist.

Egal.. aber schön dich hier mal wieder zu lesen @Lucky