World of Warcraft Account gehackt

Marmic · 05.01.2010, 11:56

Hallo liebe Leute,

Eure Seite wurde mir von einem Freund empfohlen, ich will euch kurz mein Problem schildern:

Am Montag in der Früh gegen 3 Uhr war ich Online im Spiel World of Warcraft.
Ich wollte gerade etwas in den Gruppenchat eingeben als sich meine Maus Selbstständig gemacht hat.
Zuerst dachte ich die Batterien sind wieder mal leer, ich landete auf den Desktop und wollte auf den WoW Icon klicken um wieder ins Spiel zu kommen, dies gelang mir dann auch nach cirka 5 Sekunden.
Merkwürdig war nur das ich das was ich eingeben wollte nicht drinnen stand im Chat, sondern die Wörter die ich vor dem Selbständig machen der Maus reingeschrieben habe nochamls drinnen standen.
Ich dachte das es am Spiel lag und ich ein Lag hatte.
Ich ging cirka 5 Minuten später Offline.
In der Früh so gegen 9 Uhr logte ich mich ein und bemerkte das mein ganzens Gold weg war, auch das der Gildenbank, da ich der gildenmeister war.
Ich habe sofort mein Passwort im Battlenet geändert und Blizzard kontaktiert die mir im Email folgende Software zum überprüfen genannt hat.

1. Sophos Anti Rootkit
Fand nur 2 Einträge, aber keine Virus/Trojaner oder ähnliches.

2. A-squared free
Fand nur Tracers und Cookies der Stufe mittel bis niedrig, habe ich alle gelöscht.

Ich möchte noch anmerken das ich keine aktive Firewall hatte und mein Antivir nicht aktuell war, habe Antivir aktualisiert, der Fand aber nichts.

Hier nun der Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:29:00, on 05.01.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wuauclt.exe
D:\Programme\Curse\CurseClient.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\mare72\Desktop\HiJAckThis\HijackThis.exe
C:\Program Files\Sunbelt Software\Personal Firewall\SbPFCl.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13166&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKCU\..\Run: [MS_MASTER] RUNDLL32.EXE C:\Users\mare72\AppData\Local\Temp\xml_inc.dll,i
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix: 
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SbPF.Launcher - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFLnch.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software, Inc. - C:\Program Files\Sunbelt Software\Personal Firewall\SbPFSvc.exe
O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Program Files\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe

--
End of file - 3991 bytes

Ich bekomme des öfteren folgende Meldung der Firewall:

Code:

ATTFilter

Technische Details für den Eindringversuch:

Injektoranwendung: C:\Windows\System32\rundll32.exe
Beschreibung: Windows-Hostprozess (Rundll32)
Dateiversion: 6.0.6000.16386 (vista_rtm.061101-2205)
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.0.6000.16386
Erstellt: 2006/11/2, 08:48:33
Geändert: 2006/11/2, 09:45:37
Zugegriffen: 2006/11/2, 10:39:50

Zielanwendung: C:\Program Files\Mozilla Firefox\firefox.exe
Beschreibung: Firefox
Dateiversion: 1.9.0.16
Produktname: Firefox
Produktversion: 3.0.16
Erstellt: 2008/11/21, 18:03:53
Geändert: 2009/12/20, 09:23:53
Zugegriffen: 2009/12/20, 09:23:53

Adresse der Injektion: 0x00C11949

und

Code:

ATTFilter

Technische Details für den Eindringversuch:

Injektoranwendung: C:\Windows\System32\rundll32.exe
Beschreibung: Windows-Hostprozess (Rundll32)
Dateiversion: 6.0.6000.16386 (vista_rtm.061101-2205)
Produktname: Betriebssystem Microsoft® Windows®
Produktversion: 6.0.6000.16386
Erstellt: 2006/11/2, 08:48:33
Geändert: 2006/11/2, 09:45:37
Zugegriffen: 2006/11/2, 10:39:50

Zielanwendung: C:\Program Files\Mozilla Firefox\firefox.exe
Beschreibung: Firefox
Dateiversion: 1.9.0.16
Produktname: Firefox
Produktversion: 3.0.16
Erstellt: 2008/11/21, 18:03:53
Geändert: 2009/12/20, 09:23:53
Zugegriffen: 2009/12/20, 09:23:53

Adresse der Injektion: 0x00C11949

Hat jemand einen Plan was da los ist?
WoW konnte ich später nicht mehr starten, immer Crit Error, habe es deinstalliert und neu Installiert.

raman · 05.01.2010, 12:09

Die Jungs, die Malware erstellen sind ja nicht "doof", die wollen damit ja Geld machen. Daher ist das nicht verwunderlich, das sie an AV und Firewall vorbeiarbeiten...

Lasse die Datei C:\Users\mare72\AppData\Local\Temp\xml_inc.dll mal bei virustotal.com testen und poste den Link zum Ergebniss.

Schau auch auf das Erstelldatum der Datei und ueberlege, was du zu dem Zeitpunkt gestartet/installiert haben koenntest.

Nachtrag: Solange die Malware ktiv ist, lohnt sich das Passwortaendern auf diesem Rechner nicht, da die neuen Passworte gleich wieder gestohlen werden...

Marmic · 05.01.2010, 12:20

Test durchgeführt,

Das Erstelldatum der Datei war am 26.12.2009 09:31, keine Ahnung was ich da Installiert oder Downgeloadet habe.

Code:

ATTFilter

 Datei xml_inc.dll1 empfangen 2010.01.02 20:47:34 (UTC)
Status: Beendet
Ergebnis: 1/29 (3.45%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	4.5.0.46 	2010.01.02 	-
AhnLab-V3 	5.0.0.2 	2010.01.02 	-
Antiy-AVL 	2.0.3.7 	2009.12.31 	-
Authentium 	5.2.0.5 	2010.01.02 	-
Avast 	4.8.1351.0 	2010.01.02 	-
BitDefender 	7.2 	2010.01.02 	-
ClamAV 	0.94.1 	2010.01.01 	-
Comodo 	3449 	2010.01.02 	-
eSafe 	7.0.17.0 	2009.12.31 	-
eTrust-Vet 	35.1.7210 	2010.01.01 	-
F-Prot 	4.5.1.85 	2010.01.02 	-
Fortinet 	4.0.14.0 	2010.01.02 	-
GData 	19 	2010.01.02 	-
Ikarus 	T3.1.1.79.0 	2009.12.31 	-
Jiangmin 	13.0.900 	2010.01.02 	-
K7AntiVirus 	7.10.936 	2010.01.02 	-
Kaspersky 	7.0.0.125 	2010.01.02 	-
Microsoft 	1.5302 	2010.01.02 	-
nProtect 	2009.1.8.0 	2009.12.31 	-
PCTools 	7.0.3.5 	2010.01.02 	-
Prevx 	3.0 	2010.01.02 	High Risk Fraudulent Security Program
Rising 	22.28.03.04 	2009.12.31 	-
Sophos 	4.49.0 	2010.01.02 	-
Sunbelt 	3.2.1858.2 	2010.01.02 	-
TheHacker 	6.5.0.3.125 	2010.01.02 	-
TrendMicro 	9.120.0.1004 	2010.01.02 	-
VBA32 	3.12.12.1 	2010.01.01 	-
ViRobot 	2009.12.31.2118 	2009.12.31 	-
VirusBuster 	5.0.21.0 	2010.01.02 	-
weitere Informationen
File size: 61440 bytes
MD5   : 604b9f3c4b96563761742526f75d1474
SHA1  : 1ffbeb53f486b9e76dcc3393845972ab0d93b3e9
SHA256: f5e461de8a5e622bab9d33f0c1132e95b4fa1b47272f27d6cd18dc43cca02f93
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x384B
timedatestamp.....: 0x4B20E62A (Thu Dec 10 13:14:34 2009)
machinetype.......: 0x14C (Intel I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5A62 0x6000 6.44 4cad7c703aa312a531369b4beb4bc070
.rdata 0x7000 0x1279 0x2000 3.38 f0ec4287bc8d89b59f4eb657531d9409
.data 0x9000 0x2C9C 0x1000 0.95 349888d03d98fdeb13765bf6eb183dd0
kkkkkkkk 0xC000 0x14 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
ZZZZZZZZ 0xD000 0x56 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
00000000 0xE000 0x3C 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0xF000 0x380 0x1000 0.93 51d19983a01e3023a93a4de5070e2bcf
.reloc 0x10000 0x3A0 0x1000 1.55 337fc38e211466b3142a41796adbf902

( 6 imports )

> advapi32.dll: RegOpenKeyExA, AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegQueryValueExA, RegSetValueExA, RegCreateKeyA, RegCloseKey
> kernel32.dll: Sleep, DeleteFileA, WinExec, GetBinaryTypeA, GetTickCount, LoadLibraryA, GetModuleHandleA, VirtualQuery, CreateThread, CloseHandle, GetCurrentProcess, GetProcAddress, GetLocalTime, GetModuleFileNameA, GetFileAttributesExA, FileTimeToSystemTime, GetVersionExA, GetTempPathA, GetSystemInfo
> msvcrt.dll: free, _initterm, _adjust_fdiv, calloc, _strrev, _splitpath, strcpy, memset, sprintf, strlen, atoi, __2@YAPAXI@Z, memcpy, strchr, strncmp, rename, _access, strcat, strstr, _except_handler3, exit, printf, malloc, fclose, fopen, fgets, _stricmp
> netapi32.dll: Netbios
> user32.dll: SetWindowsHookExA, DispatchMessageA, CallNextHookEx, CharLowerA, TranslateMessage, GetMessageA, wsprintfA
> ws2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -

( 1 exports )

> AR, GetVer, i
TrID  : File type identification
Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%)
ssdeep: 384:1w2emdTTJNisi+qRX+slHyGoHnMF4qi6j0TTn7di/vi/b7MoMIEqiLRrv:22ecTTasylXoHnXsO7duaj7MoMp1r
Prevx Info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=4118834100309332F0D3009804A243009BB928AF
PEiD  : -
RDS   : NSRL Reference Data Set

Marmic · 05.01.2010, 12:21

Zitat:

Zitat von raman

Die Jungs, die Malware erstellen sind ja nicht "doof", die wollen damit ja Geld machen. Daher ist das nicht verwunderlich, das sie an AV und Firewall vorbeiarbeiten...

Lasse die Datei C:\Users\mare72\AppData\Local\Temp\xml_inc.dll mal bei virustotal.com testen und poste den Link zum Ergebniss.

Schau auch auf das Erstelldatum der Datei und ueberlege, was du zu dem Zeitpunkt gestartet/installiert haben koenntest.

Nachtrag: Solange die Malware ktiv ist, lohnt sich das Passwortaendern auf diesem Rechner nicht, da die neuen Passworte gleich wieder gestohlen werden...

Hatte bis zur der Zeit des Hacks keine Firewall

War aber für den Hacker ein Lotto 6er.
Waren im Wert von 150.000 Gold und Bargeld in der höhe von 140.000 gold weg

raman · 05.01.2010, 12:29

Lad die Datei auch hier hoch, dann wird sie an div. AV Hersteller geschickt:
http://www.trojaner-board.de/54791-a...ner-board.html

Schon interessant, das die es schaffen die Datei so lange (26.12!) vor den AV Herstellern zu verstecken. Du haettest es ja auch nicht gemerkt, wenn deine Passworte nicht geaendert /gestohlen worden waeren.

Zu der Malware selber, ich wuerde den REchner neu aufsetzen, da nicht garantiert werden kann, das die Datei die einzig "boese" ist....

Marmic · 05.01.2010, 12:34

Muss ich alle Daten vom Laufwerk D löschen, Videos, Musik usw., da sind 250GB drauf, die zu Sichern wird problematisch.
Vista ist auf dem Laufwerk C

raman · 05.01.2010, 12:37

Nein, die Systempartiton sollte reichen. Poste vorher aber bitte einen GMER report

Marmic · 05.01.2010, 12:47

Hier noch der Log von Av im Expertenmodus gescannt wie hier auf der Seite empholen.

Mein Frage Raman hast du was finden können und wenn ja, welche Datei ist es?

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 05. Jänner 2010  12:08

Es wird nach 1499407 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : mare72
Computername   : MARE72-PC

Versionsinformationen:
BUILD.DAT      : 9.0.0.407     17961 Bytes  29.07.2009 10:29:00
AVSCAN.EXE     : 9.0.3.7      466689 Bytes  21.07.2009 13:36:08
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 12:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 11:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 10:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 23:33:20
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 23:33:23
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 23:33:23
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 23:33:23
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 23:33:23
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 23:33:23
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 23:33:23
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 23:33:23
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 23:33:24
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 23:33:24
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 23:33:24
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 23:33:24
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 23:33:24
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 23:33:25
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 23:33:26
VBASE015.VDF   : 7.10.1.178    195584 Bytes  07.12.2009 23:33:26
VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 23:33:27
VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 23:33:28
VBASE018.VDF   : 7.10.2.30    198144 Bytes  21.12.2009 23:33:28
VBASE019.VDF   : 7.10.2.63    187392 Bytes  24.12.2009 23:33:29
VBASE020.VDF   : 7.10.2.93    195072 Bytes  29.12.2009 23:33:30
VBASE021.VDF   : 7.10.2.94      2048 Bytes  29.12.2009 23:33:30
VBASE022.VDF   : 7.10.2.95      2048 Bytes  29.12.2009 23:33:30
VBASE023.VDF   : 7.10.2.96      2048 Bytes  29.12.2009 23:33:30
VBASE024.VDF   : 7.10.2.97      2048 Bytes  29.12.2009 23:33:30
VBASE025.VDF   : 7.10.2.98      2048 Bytes  29.12.2009 23:33:30
VBASE026.VDF   : 7.10.2.99      2048 Bytes  29.12.2009 23:33:30
VBASE027.VDF   : 7.10.2.100      2048 Bytes  29.12.2009 23:33:31
VBASE028.VDF   : 7.10.2.101      2048 Bytes  29.12.2009 23:33:31
VBASE029.VDF   : 7.10.2.102      2048 Bytes  29.12.2009 23:33:31
VBASE030.VDF   : 7.10.2.103      2048 Bytes  29.12.2009 23:33:31
VBASE031.VDF   : 7.10.2.119    167424 Bytes  04.01.2010 23:33:32
Engineversion  : 8.2.1.130
AEVDF.DLL      : 8.1.1.2      106867 Bytes  04.01.2010 23:33:39
AESCRIPT.DLL   : 8.1.3.7      594296 Bytes  04.01.2010 23:33:39
AESCN.DLL      : 8.1.3.0      127348 Bytes  04.01.2010 23:33:38
AESBX.DLL      : 8.1.1.1      246132 Bytes  04.01.2010 23:33:39
AERDL.DLL      : 8.1.3.4      479605 Bytes  04.01.2010 23:33:38
AEPACK.DLL     : 8.2.0.4      422263 Bytes  04.01.2010 23:33:37
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  23.07.2009 09:59:39
AEHEUR.DLL     : 8.1.0.192   2195833 Bytes  04.01.2010 23:33:36
AEHELP.DLL     : 8.1.9.0      237943 Bytes  04.01.2010 23:33:34
AEGEN.DLL      : 8.1.1.83     369014 Bytes  04.01.2010 23:33:33
AEEMU.DLL      : 8.1.1.0      393587 Bytes  04.01.2010 23:33:33
AECORE.DLL     : 8.1.9.1      180598 Bytes  04.01.2010 23:33:32
AEBB.DLL       : 8.1.0.3       53618 Bytes  09.10.2008 14:32:40
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 08:47:56
AVPREF.DLL     : 9.0.0.1       43777 Bytes  03.12.2008 11:39:55
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 14:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 15:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 15:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 10:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 15:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 08:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 15:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 15:35:17
RCTEXT.DLL     : 9.0.37.0      87809 Bytes  17.04.2009 10:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, G:, H:, I:, J:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 05. Jänner 2010  12:08

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '103274' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SbPFCl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SbPFSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HijackThis.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CurseClient.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SbPFLnch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Im  Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
    [INFO]      Im  Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
    [INFO]      Im  Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
    [INFO]      Im  Laufwerk 'I:\' ist kein Datenträger eingelegt!
Bootsektor 'J:\'
    [INFO]      Im  Laufwerk 'J:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '38' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'J:\'
Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\' <Lich King>


Ende des Suchlaufs: Dienstag, 05. Jänner 2010  12:44
Benötigte Zeit: 36:44 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  25162 Verzeichnisse wurden überprüft
 388764 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 388762 Dateien ohne Befall
   4033 Archive wurden durchsucht
      2 Warnungen
      2 Hinweise
 103274 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

raman · 05.01.2010, 13:18

"Gesehen" habe ich nur die Datei, die du bei VT geprueft hast. Es kann ja noch mehr sein, nur ist die Frage, ob man noch grossartig weiter suchen soll(mit GMER und Combofix), wenn du den Rechner eh neu aufsetzt.

Nachtrag: Danke fuer das hochladen...

Marmic · 05.01.2010, 21:52

So, habe die Festplatte Formatiert, und mir gleich Windows 7 gekauft und diese Installiert.

Antivir herunter geladen und gleich mal einen Scann gestartet, hier der Log, wobei mich die 2 Warnungen ein bisschen Verunsichern, jemand eine Ahnung was das genau ist?

Code:

ATTFilter

Premium Security Suite
Erstellungsdatum der Reportdatei: Dienstag, 05. Jänner 2010  21:30

Es wird nach 1501318 Virenstämmen gesucht.

Lizenznehmer   : ***********
Seriennummer   : *****
Plattform      : Windows Vista
Windowsversion : (plain)  [6.1.7600]
Boot Modus     : Normal gebootet
Benutzername   : *****
Computername   : *****

Versionsinformationen:
BUILD.DAT      : 9.0.0.390     32553 Bytes  02.12.2009 16:12:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 20:12:50
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 20:12:50
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 20:12:50
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 20:12:51
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 20:12:51
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 20:12:51
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 20:12:51
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 20:12:51
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 20:12:51
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 20:12:51
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 20:12:51
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 20:12:51
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 20:12:51
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 20:12:52
VBASE015.VDF   : 7.10.1.178    195584 Bytes  07.12.2009 20:12:52
VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 20:12:53
VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 20:12:54
VBASE018.VDF   : 7.10.2.30    198144 Bytes  21.12.2009 20:12:54
VBASE019.VDF   : 7.10.2.63    187392 Bytes  24.12.2009 20:12:55
VBASE020.VDF   : 7.10.2.93    195072 Bytes  29.12.2009 20:12:55
VBASE021.VDF   : 7.10.2.94      2048 Bytes  29.12.2009 20:12:55
VBASE022.VDF   : 7.10.2.95      2048 Bytes  29.12.2009 20:12:55
VBASE023.VDF   : 7.10.2.96      2048 Bytes  29.12.2009 20:12:55
VBASE024.VDF   : 7.10.2.97      2048 Bytes  29.12.2009 20:12:55
VBASE025.VDF   : 7.10.2.98      2048 Bytes  29.12.2009 20:12:55
VBASE026.VDF   : 7.10.2.99      2048 Bytes  29.12.2009 20:12:55
VBASE027.VDF   : 7.10.2.100      2048 Bytes  29.12.2009 20:12:55
VBASE028.VDF   : 7.10.2.101      2048 Bytes  29.12.2009 20:12:56
VBASE029.VDF   : 7.10.2.102      2048 Bytes  29.12.2009 20:12:56
VBASE030.VDF   : 7.10.2.103      2048 Bytes  29.12.2009 20:12:56
VBASE031.VDF   : 7.10.2.126    197120 Bytes  05.01.2010 20:12:56
Engineversion  : 8.2.1.130
AEVDF.DLL      : 8.1.1.2      106867 Bytes  08.11.2009 06:38:52
AESCRIPT.DLL   : 8.1.3.7      594296 Bytes  05.01.2010 20:13:00
AESCN.DLL      : 8.1.3.0      127348 Bytes  05.01.2010 20:13:00
AESBX.DLL      : 8.1.1.1      246132 Bytes  08.11.2009 06:38:44
AERDL.DLL      : 8.1.3.4      479605 Bytes  05.01.2010 20:13:00
AEPACK.DLL     : 8.2.0.4      422263 Bytes  05.01.2010 20:12:59
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  08.11.2009 06:38:38
AEHEUR.DLL     : 8.1.0.192   2195833 Bytes  05.01.2010 20:12:59
AEHELP.DLL     : 8.1.9.0      237943 Bytes  05.01.2010 20:12:57
AEGEN.DLL      : 8.1.1.83     369014 Bytes  05.01.2010 20:12:57
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.9.1      180598 Bytes  05.01.2010 20:12:56
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2902785 Bytes  08.11.2009 08:37:33
RCTEXT.DLL     : 9.0.73.0      91393 Bytes  13.10.2009 11:03:53

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:, G:, H:, I:, J:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 05. Jänner 2010  21:30

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '13348' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VSSVC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WmiPrvSE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sppsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avfwsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'F:\'
    [INFO]      Im  Laufwerk 'F:\' ist kein Datenträger eingelegt!
Bootsektor 'G:\'
    [INFO]      Im  Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
    [INFO]      Im  Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
    [INFO]      Im  Laufwerk 'I:\' ist kein Datenträger eingelegt!
Bootsektor 'J:\'
    [INFO]      Im  Laufwerk 'J:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '17' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <DATA>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'I:\'
Der zu durchsuchende Pfad I:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'J:\'
Der zu durchsuchende Pfad J:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.
Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Dienstag, 05. Jänner 2010  21:40
Benötigte Zeit: 10:15 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  10782 Verzeichnisse wurden überprüft
 181088 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 181086 Dateien ohne Befall
    752 Archive wurden durchsucht
      2 Warnungen
      2 Hinweise
  13348 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Hier der Log von HiJackThis:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:47:14, on 05.01.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\Marmic\AppData\Local\Temp\Temp2_HiJackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O13 - Gopher Prefix: 
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE

--
End of file - 2188 bytes

Eine Frage noch, wieso wird beim Log von Antivir Windows Vista als Platform angegeben und nicht windows 7?

WinstonWolf · 06.01.2010, 11:55

Hy
Hier Wofür wird die Datei hiberfil.sys benötigt?

und hier:Pagefile.sys – Alles über die Auslagerungsdatei (Software Tipps) - Computerhilfen.de

Kannst du alles über die Dateien nachlesen.
Sie werden von Windows versteckt und Antivir wird der Zugriff verweigert, deswegen wird hier auch eine Warnung ausgegeben.Sollte laut Avira Forum Warnung als Suchlaufergebnis - AntiVir Premium und Avira Premium Security Suite - Avira Support Forum unbedenklich sein.

Warum Windows 7 als Vista erkannt wird kann ich dir nicht sagen.

Hoffe ich konnte helfen
WW

jellemann · 01.02.2010, 17:10

hallo ich weiß nicht ob ich neu aufmachen soll oder hier mal was fragen soll...
Mein Acc wurde auch gehäckt...
Nur bei mir Finde ich mit HijackThis nichts und Avast auch nicht Firewall habe ich auch aktiv und langsam weiß ich nicht weiter ich bekomme acc wieder wenn ich blizz ein log file schicke der keien trojaner logs hat nur also ich sie da keien dem entsprechend würde ich ja eig keinen haben oder??Nur meien Pw würde schon 2 mal geklaut also muss da ja was sein ??

Mien lOg

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:08:40, on 01.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\LogMeIn Hamachi\hamachi-2.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Dokumente und Einstellungen\Admin\Desktop\WowMatrix.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE

R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
O2 - BHO: kikin Plugin - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ocs_SM] C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OCS\SM\SearchAnonymizer.exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [uTorrent] "C:\Programme\uTorrent\uTorrent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra 'Tools' menuitem: My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: ,C:\DOKUME~1\Admin\LOKALE~1\Temp\mpcor.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Programme\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SearchAnonymizer - Unknown owner - C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OCS\SM\SearchAnonymizerHelper.exe

--
End of file - 5126 bytes

Mfg Danjell

World of Warcraft Account gehackt

Log-Analyse und Auswertung: World of Warcraft Account gehackt