Ich spiele WOW, dabei hat sich heute meine Figur ohne Einwirkung meinerseits aktiviert. Erstens erschien eine Textnachricht, die normalerweise nur erscheint, wenn man einen Angriffsknopf drückt, aber kein Ziel hat und dann war ich kurz afk und als ich wiederkam saß ich nicht mehr auf mein Flugreittier, sondern auf meinem Pferd. Im Forum von WOW hat man versucht mir zu helfen bis her jedoch ohne Erfolg. Ich habe mehrere Antiviren bzw. Antispywareprogramme über mein System laufen lassen - ohne Erfolg. Alles scheint in Ordnung zu sein. Jetzt habe ich mit HijackThis oder wie das heißt eine Logfile erstellt. Wäre echt lieb, wenn ihr mir helfen könntet. Bin am verzweifeln:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:26:06, on 17.07.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Razer\Habu\razerhid.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Razer\Habu\razertra.exe
C:\Program Files\Razer\Habu\razerofa.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\REGEDIT.EXE
C:\Windows\system32\SearchFilterHost.exe
C:\Users\User\Desktop\Neuer Ordner\Neuer Ordner\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kostenlos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Habu] C:\Program Files\Razer\Habu\razerhid.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: WinCal - Verknüpfung.lnk = C:\Program Files\Windows Calendar\WinCal.exe
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 3956 bytes

Hi!

Lade doch mal bitte folgende Dateien bei VIRUSTOTAL hoch und lass die mal untersuchen und Poste mal hier das ergebniss:


C:\Windows\system32\Dwm.exe
C:\Windows\RtHDVCpl.exe

Gruss BIOTEC

Danke BIOTEC für die schnelle Antwort.

Bei dwm.exe kam folgendes Resultat:

MD5: 01dd1004181fd46ecdc3628228eb269d
First received: 2009.05.28 17:11:17 UTC
Date: 2009.07.14 16:05:45 UTC [>2D]
Results: 0/41

Ich glaub das heißt 0 von 41 Virenscannern haben einen Virus erkannt. Bei dwm steht unter Dateibeschreibung in meinem Betriebssystem: Dateifenster-Manager. Und im Internet hab ich gerade mal nachgeschaut dwm.exe scheint ne ganz normale System-Datei zu sein und würde sich also mit dem Ergebnis decken.

Und bei der anderen Datei rechnet / lädt er schon eine ganze Weile, aber ich glaube die ist in Ordnung. Die hat irgendwas mit meiner Soundkarte von Realtek zu tun. Ich gebe noch mal Bescheid, wenn ich bei der zweiten Datei ein Ergebnis bekomme.

OK....

Dann lade dir mal Malewarebytes 1.39 runter, lass es mal laufen und poste dann mal das Logfile.

Gruss BIOTEC

Die zweite Datei hat immer noch kein Ergebnis geliefert und dieses Antispyprogramm hatte ich bereits auf Empfehlung eines anderen Spielers aus dem WOW-Forum über mein System laufen lassen. Es sagte alles wäre in Ordnung.

Kann es sein, dass ich gar keinen Trojaner habe? Nur wie ist es dann möglich, dass ohne meine Einwirkung mein Charakter irgendwas macht. Das kann doch eigentlich sein. Ich werde auf gar keinen Fall mein System neu installieren, da wär ich den ganzen Tag mit beschäftigt und vielleicht vollkommen umsonst, wenn es nämlich kein Trojaner ist.

Danke für deine Mühe BIOTEC.

Die zweite Datei ist wie erwartet doch in Ordnung, ich tendiere dazu zu vermuten, dass es sich um einen Bug des Programmes handeln könnte, ich muss das mal untersuchen.