Aus dem Blizzard Forum für den Technischen Support

Zitat:

Zitat von 13025695135

Hallo,
seit gestern habe ich große Probleme mit WoW. Ich konnte mich nicht mehr einloggen, da weder der Installer, der Updater oder die WoW.exe ausgeführt werden konnte.

Das Ganze begann mit einem Trojaner Angriff auf meinen PC, der sich dadurch mit der Schadsoftware Antimalware Doctor infizierte. Das war eig. kein Problem.
Mit dem Tool rkill. konnte ich alle Prozesse stoppen.
Anschließend bin ich mit Malwarebytes Anti-Malware drüber gegangen. Das komplette System wurde gescannt und auch einige Dateien entfernt.

Ergebnis: Antimalware Doctor restlos entfernt

Aber als ich mich dann in WoW einloggen wollte, kam die Meldung, dass keine Internetverbindung hergestellt werde konnte. Dabei funktionierte noch alles vor 30 Minuten!
Ich denke deshalb, dass es etwas mit dem Trojaner Angriff zu tun hat.

Ich habe versucht die repair.exe auszuführen aber das war auch erfolglos.
Dann habe ich WoW deinstalliert und mir den vollständigen Clienten runtergeladen. (Ich habe nur die Digitale Version von Cataclysm). Dann als ich den Installer ausführen wollte kommt folgende Meldung:

Zitat:

Internetverbindung funktioniert tadelos, ich kann ja auch hier posten.
Dass meine Firewall die entsprechenden Ports blockiert, kann ich mir auch nicht vorstellen.
30 min. vorher funktionierte ja noch alles

Ich gehe mal nicht davon aus, dass Malwarebytes irgendwas an meiner Systemkonfig. ändert.

Im Moment sieht es so aus, dass ich nicht einmal WoW installieren kann, der Installer geht ja nicht...

Über Meinungen, Anregungen und Lösungsvorschläge bin ich sehr dankbar.
Frohe Weihnachten

Edit:

Internetanbieter: Vodafone

Land: Deutschland

Router: Vodafone DLS Box 802

Netzwerkkarte: -

Verbindungsart: Lan

Betriebssystem: Windows Vista Home Basic 6.0

Installierte Sicherheitssoftware: Windows Defender, Antivira Antivir, Malwarebytes

Mir wurde gesagt, dass wahrscheinlich immer noch Schadsoftware auf meinem PC ist. Malwarebytes zeigt mir abe rnichts mehr an.
Habt ihr ne Idee?

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Logfiles vom OTL Scan im Anhang.

Für was genau ist OTL da?

es verschafft mir überblick über instalierte programme laufende programme usw.
öffne den internet explorer, extras, internetoptionen, lanverbindung, proxy:
dort lösche den eintrag und wähle keinen proxy server verwenden aus.
also den haken entfernen.
übernehmen/ok.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
O4 - HKLM..\Run: [TaskTray] File not found
[2010.12.23 18:05:34 | 000,000,000 | ---D | C] -- C:\Users\T!mo\AppData\Roaming\Xuiz
[2010.12.23 18:05:34 | 000,000,000 | ---D | C] -- C:\Users\T!mo\AppData\Roaming\Qeabyn

:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort posten.

Zitat:

öffne den internet explorer, extras, internetoptionen, lanverbindung, proxy:
dort lösche den eintrag und wähle keinen proxy server verwenden aus.
also den haken entfernen.
übernehmen/ok.

ouh -.-*
da hätte ich auch selber drauf kommen müssen

Jedenfalls vielen Dank für die schnelle und kompetente Hilfe.

Habe OTL ausgeführt und auch neu gestartet aber ich finde kein Textdokument nur eine Desktop.ini

Soweit ich mitgekommen bin, müsste sich das Ganze jetzt erledigt haben?

Für mich noch ganz interessant zu wissen, wäre etwas Hintergundwissen.
in welcher Sprache z.B. wurde der Trojaner programmiert? Und wieso wurde mein Antivir nicht aktiv? Und was genau, bewirkte der Angriff?

MfG und Danke nochmal

ka in welcher sprache, gibt ja so viele von denen.
er wollte dich im besten falle nur dazu bringen geld auszugeben für nutzlose software, im schlimmsten fall hat er was nach instaliert.
wir prüfen das noch, ich gebe dir dann weiter reichende tipps, wie du das system in zukunft sicherer bekommst
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix