Trojaner-Board - GameThief.Win32.WOW

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GameThief.Win32.WOW (https://www.trojaner-board.de/56386-gamethief-win32-wow.html)

GameThief.Win32.WOW

Moin,

seit ein paar Tagen findet mein Kaspersky immer mal wieder einen "Trojan-GameThief.Win32.WOW.bkh" bzw. "Trojan-GameThief.Win32.WOW.bkl". Und das bis jetzt 2 mal in WoW-Patchdateien. (Die anderen Male in den System Volume Information). Kann mir jemand sagen woher die kommen, bzw was ich dagegen tun kann? Wie gesagt, bis vor ein paar Tagen hatte ich sowas nie, hab wie schon gesagt, Kaspersky Internet Security und benutze Firefox 3 mit NoScript.

Hi,
Vorerst kein WoW mehr spielen! Ändere von einem sauberen Rechner dein Passwort!
Poste danach ein Hijackthis-Log.

K, Hjt sagt mir folgendes:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:56, on 20.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
E:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
E:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
E:\WINDOWS\system32\RunDll32.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
E:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
E:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
E:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "E:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "E:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "E:\WINDOWS\TEMP\E_S13C.tmp" /EF "HKLM"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~2\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4283 bytes

/push
Hat keiner das selbe Problem oder kann mir sagen woher die kommen? Nochmal ein paar Infos, ich habe Windows XP mit SP2, 2 mal wurde der Trojaner in WoW-Patchdateien gefunden, 2 mal in System Volume Information.Hier mal ein Screenshot von den Meldungen:http://www.abload.de/thumb/nonamen0n.jpg Ich hab über die Nacht jetzt mal Kaspersky auf der nächsten Stufe der Heuristischen Analyse durchlaufen lassen (Mittel, auf "Detailliert" braucht er ne Woche cO)
und er hat nichts gefunden. Spybot hab ich auch mal durchlaufen lassen, der hat 3 Cookiesachen gefunden, aber wie es mir scheint nichts weiter schlimmes.
Hier nochmal ein HJT-Log, der hat sich nach der Spybot Installation logischerweise n bisschen verändert:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:10, on 21.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
E:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
E:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
E:\WINDOWS\system32\RunDll32.exe
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
E:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
E:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
E:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
E:\WINDOWS\System32\svchost.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://trashmobs.de/
O4 - HKLM\..\Run: [AVP] "E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "E:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "E:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "E:\WINDOWS\TEMP\E_S13C.tmp" /EF "HKLM"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: E:\PROGRA~1\KASPER~2\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4359 bytes