Hiho

hab da eventuell ein Problem.
Ich spiele WoW und mein Account wurde letzte Nacht gehackt.
Nun da ich das schon von meiner Freundin kenne, bin ich natürlich vorsichtig, soweit es ein Laie sein kann.
Habe mir als Virenscanner BitDefender Internet Security geholt (Testversion)
desweiteren hab ich ständig Spybot S&D am laufen.
darüber hinaus habe ich seit neuestem Malwarebytes drauf und nun auf anraten
von Blizzard auch den Rootkit Scanner Sophos Anti-Rootkit.

Also der virenscanner bitdefender findet garnix, spybot erlaube ich normal nur sachen die ich nachvollziehen kann, soweit man es kann.
malewarebytes hat einen sogenannten Rogue entdeckt, den man allerdings mit dem prog löschen kann, wohl aber doch immer wieder kommt.

bei google wenn ich dies eingebe komm ich auf eine seite die mir ned sehr vertrauenswürdig aussieht um ein removal tool dafür runterzuladen
davon hab ich erstma abgesehen.

der rootkitscanner findet nur sachen die er ned für löschenswürdig erachtet bzw 1 teil was man ned löschen kann was aber nach ein wenig googlen wohl nix weiteres is.

nun meine frage, ich hab gelesen dieso rogue programme gaukeln einem nur vor man ist befallen, hab davon allerdings no nix bemerkt, sprich es kamen keine komischen anti viren etc sachen die ich kaufen sollte.

muss, bzw kann ich dagegen iwas machen? oder sollte ich noch iwelche scans vollfürhen und wenn ja, wie kriege ich bitdefender ausgeschalten, es gibt kein einfaches ausmachen bei dem teil, selbst zum deinstallieren bräuchte man nen eigenes tool

vielen dank im vorraus

mfg deathless

ps.: groß-kleinschreibung ned beachten, zocker halt :-P

so hab ma geschaut, genaue bezeichnung von dem teil was Malwarebytes da findet :
Rogue.Control.Center

und hier noch n log wo dat vorkam:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3591
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22.01.2010 20:31:08
mbam-log-2010-01-22 (20-31-08).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 94784
Laufzeit: 3 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall (Rogue.ControlCenter) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

---------------------------------------------------------------

Von nem vorigen scan hab ich noch den log:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3591
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

18.01.2010 18:53:18
mbam-log-2010-01-18 (18-53-18).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 95570
Laufzeit: 4 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall (Rogue.ControlCenter) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Not selected for removal.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

------------------------------------------------------------------

wobei ich wohl mit google rausgefunden habe das der infizierte beitrag in der registrierung nix schlimmes is, trotzdem ma besser euch drüberschauen lassen ^^

mfg deathless

keiner iwie nen tipp ob dat teil gefährlich ist bzw was man dagegen tun kann? wie schon erwähnt spuckt google dafür ned wirklich was nützliches aus.

mfg deathless

Hallo!

In letzter Zeit verteilt ein Script-Kiddie aus Spanien in den WoW Foren schadhafte Links zu selbstgebastelten Keyloggern.

Er prahlt auf seiner Homepage mit Erkennungsraten von unter 20% und spezial Features wie der Verhinderung der Ausführung unter VMs.

Meine Frage:

Bist du in diese Falle mit der gefakten "flashplayer.exe" getappt und bist du diesen Links gefolgt?

Trojan-GameThief.Win32.WOW nennt sich der Freund und wird kaum erkannt:

http://www.virustotal.com/de/analisis/9987746fabc62dd863c1592f9d47003e0c7ae103913569a375e18e478dd43222-1263630842

Also, in letzter Zeit im WoW Forum unterwegs gewesen?


Denn bei dir wurden nur infizierte Registry-Einträge gefunden, jedoch keine Dateien...

Wie sieht's aus mit scans von anderen Tools?

hiho

ja ich bin des öfteren im realmforum, gildenhp oder auch progressseiten unterwegs, allerdings halt nur seiten die ich sonst auch immer besuchte.

logs von andren scanns hab ich atm ned da, kann ich aber gern nachreichen, was wäre denn da so hilfreich?

mfg deathless

so hab ma spybot nochma drüberlaufen lassen und er hat was gefunden, dat log is leider bissl arg groß, deswegen post ich ma nur die gefundenen sachen:


--- Search result list ---
PartnerBHO: [SBI $2FE4A5BE] Anwendungs-ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\AppID\{28A88B70-D874-4f73-BBBA-9B2B222FB7D6}

PartnerBHO: [SBI $2FE4A5BE] Anwendungs-ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\AppID\{28A88B70-D874-4f73-BBBA-9B2B222FB7D6}

PartnerBHO: [SBI $BE743C00] Anwendungs-ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\AppID\kt_bho_dll.dll

PartnerBHO: [SBI $BE743C00] Anwendungs-ID (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\AppID\kt_bho_dll.dll

PartnerBHO: [SBI $6B47FF4E] Type library (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}

PartnerBHO: [SBI $6B47FF4E] Type library (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000}

Win32.Agent.tdd: [SBI $AC97CB48] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe

Win32.Agent.tdd: [SBI $AC97CB48] Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\livesrv.exe


--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---


eventuell kann da ja der ein oder andre scho was sehen

mfg deathless