+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 2.80.0.1077
+----------------------------------------------------


--== Dump Hidden MBR, Hidden Files and Alternate Data Streams on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

zusätzlich mal a²

a-squared Free - Version 4.5
Letztes Update: 02.02.2010 18:49:01

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Speicher, Traces, Cookies, C:\, E:\
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn: 02.02.2010 18:49:14

C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264004344453001 gefunden: Trace.TrackingCookie.ad.zanox.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264004370125001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264004422859001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264004422921001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264004607125002 gefunden: Trace.TrackingCookie.www.zanox-affiliate.de!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264007357968000 gefunden: Trace.TrackingCookie.de.sitestat.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264008245015001 gefunden: Trace.TrackingCookie.eas.apm.emediate.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264008245234000 gefunden: Trace.TrackingCookie.eas.apm.emediate.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264008381984000 gefunden: Trace.TrackingCookie.m.webtrends.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264009673843001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264010184919001 gefunden: Trace.TrackingCookie.ad.zanox.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264018805779001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264090150062001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264098860468000 gefunden: Trace.TrackingCookie.www3.addfreestats.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264185464546000 gefunden: Trace.TrackingCookie.www.etracker.de!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264186075265001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264186075328001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264248065234001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264248238390000 gefunden: Trace.TrackingCookie.www.googleadservices.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264248276640000 gefunden: Trace.TrackingCookie.www.googleadservices.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264610009406001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264613767015001 gefunden: Trace.TrackingCookie.promo.awempire.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264700992515001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1264700993734001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265049793156000 gefunden: Trace.TrackingCookie.myspace.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265049793171000 gefunden: Trace.TrackingCookie.myspace.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265049860953009 gefunden: Trace.TrackingCookie.myspace.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265049860953012 gefunden: Trace.TrackingCookie.myspace.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265050622640000 gefunden: Trace.TrackingCookie.myspace.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265050622640003 gefunden: Trace.TrackingCookie.myspace.com!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053019640000 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053019640001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053019921000 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053044828000 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053044921000 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053111437000 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053111437001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053111531000 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053111531001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053399812000 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\Dokumente und Einstellungen\smegi\Anwendungsdaten\Mozilla\Firefox\Profiles\p9gjtwi4.default\cookies.sqlite:1265053399812001 gefunden: Trace.TrackingCookie.adsfac.eu!A2
C:\System Volume Information\_restore{4BED4A44-7CAC-4A83-AE09-BA2BAC35DEED}\RP260\A0056333.DLL gefunden: Trojan-GameThief.Win32.WOW!IK

Gescannt

Dateien: 145938
Traces: 664462
Cookies: 818
Prozesse: 39

Gefunden

Dateien: 1
Traces: 0
Cookies: 41
Prozesse: 0
Registry Keys: 0

Scan Ende: 02.02.2010 19:58:32
Scan Zeit: 1:09:18

Ok, was sagt Prevx?

Zitat:

0 bytes size received / Se ha recibido un archivo vacio steht bei den ganzen pc_*

Sind wohl wirklich leer... Lösch sie mal sicherheitshalber.

Zitat:

C:\WINDOWS\System32\drivers\UMDF\MsftWdf_user_01_00_00.Wdf ist nicht mehr auffindbar bzw is in dem ordner nur ne wpdmtpdr.dll

Explorer -> Extras -> Ordneroptionen -> Ansicht
"Geschützte Systemdateien ausblenden" Häkchen weg
"Versteckte Dateien und Ordner" -> "Alle Dateien anzeigen" markieren

Sieh dann bitte noch mal nach. Bei der Gelegenheit lade dann auch diese wpdmtpdr.dll hoch. Außerdem noch dieses Ding:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\imsins.BAK
         

Und ich warte auf Prevx.

Virustotal. MD5: 04fbe43bbd3b9953f6bc765d09425dd2

MsftWdf_user_01_00_00.Wdf hat 0kb -> deleted

hier der prevex log
h+tp://www.speedshare.org/download.php?id=6351F53E11

Tjo, sieht alles ganz gut aus. Den Trojaner hast du dir wohl mit diesem Ventrilo Mix geholt. Weiß jetzt nicht, wann du es runtergeladen hast. Scheint aber nicht mehr da zu sein. a2 meldet coockies und die Überreste in der Systemwiederherstellung. Wie man die zurücksetzt, weißt du ja inzwischen.
Falls nicht noch irgendwelche Probleme oder Auffälligkeiten mit dem Rechner bestehen, würd ich mal sagen, dass wir durch sind.

Sollten aber allem zum Trotz wieder Probleme mit dem WOW-Account auftreten, mache am Besten eine Neuinstallation und dem Spuck ein Ende.

leider ist bei mir noch immer systemwiederherstellung grau hinterlegt und deaktiviert. hab da irgendwie keinen zugriff das ich die überhaupt wieder einschalten kann..

Aha... Ich habe doch gefragt, ob's geklappt hat. Hätten wir uns die ganzen Scans sparen können

Na egal, was passiert denn wenn du das machst, was ich mal geschrieben habe? Irgendwelche Fehlermeldungen?

unter services.msc ist systemwiederherstellung schon auf automatisch, brauch ich garnix verstellen

Start -> Ausführen -> regedit

Wechsele zum Schlüssel

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr
         

Rechts im Fenster sollte nun (unter anderen) der Wert

Code: Alles auswählenAufklappen

ATTFilter

Start REG_DWOED 0X00000000(0)
         

zu sehen sein. Der sollte auf 0 stehen, also eben 0X00000000(0).
Ist das nicht der Fall, setze den Wert mit Rechtsklick auf 0.

Überprüfe danach nach dem selben Schema folgende Einträge:

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore 

DisableSR REG_DWOED 0X00000000(0)
         

Code: Alles auswählenAufklappen

ATTFilter

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore

DisableSR REG_DWOED 0X00000000(0)

DisableConfig REG_DWOED 0X00000000(0)
         

Falls einer der Werte nicht auf 0 stand und du es ändern musstest, starte den PC neu. Falls alle Werte richtig sind, geht's mit dem nächsten Schritt weiter.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

DisableSR REG_DWOED 0X00000000(0)

das wars!

Schönen dank

Ok, ich nehme mal an, das hat geklappt

Dann zum Abschluss noch ein paar Tipps:

Empfehlenswert ist Secunia PSI, damit lassen sich etliche installierte Programme auf eine einfache Weise "up to date" halten.

Gib Sandboxie eine Chance.

Eine Entrümpelung ist ebenfalls nützlich.

Gut zu wissen: Kompromittierung unvermeidlich?

Gruß,
Kos

so mal ein kleiner zwischenbericht mal wieder. bis jetzt sind keine probleme mehr aufgetreten. nochmals danke für die hilfe

Ich weiss nicht obs hilft, aber bei der Durchschau und dem Versuch
das von dir angehängte Textfile zu öffnen spielte mein Bitdefender verrückt...
Siehe Grafik:



Auch als Hinweis für KOS