keylogger?

[DarthVadda]

hallo zusammen,

heute morgen wurde mein wow-account gehackt.
was mich schlussfolgern lässt das ich mir wohl einen keylogger oder ähnliches eingefangen habe.

ich habe bis jetzt meinen pc mit antivir, spybot, malewarebytes und hijackthis gescannt aber nichts gefunden.

meine frage nun,
welches programm könntet ihr mir noch empfehlen und gibt es keylogger oder ähnliches das sich von selbst wieder löscht ?

villeicht kann mir ja einer von euch weiterhelfen oder hat tipps wie ich weiter vorgehen soll.

mfg
nielson

 

[HawaiiWolf]

Naja sicher gibts Keylogger die sich auch wieder löschen, aber was z.B. auch mal bekannt war / ist, dass WoW Addons verseucht sind und es gab auch mal nen verseuchten Curse Client / Updater (ich weiß nicht ob du den verwendest).

und kleine Info am Rande: Avira kannst du vergessen das ding findet / erkennt gar nichts...

Was für ein Windows hast du denn? nur mal am Rande

 

[DarthVadda]

also addons saug ich alle manuell von wowinterface,
autoupdater ala curseclient und andere addonseiten nutze ich nicht.

ich benutze xp

 

[HawaiiWolf]

Was du mal ausprobieren kannst ist der Security TaskManager, der zeigt dir zu allen laufenden Prozessen und co Infos an bzw wie gefährlich der Prozess ist oder ob das auch ein Virus sein kann.

Gibts unter:

http://www.neuber.com/taskmanager/download.html

bzw:

http://www.neuber.com/taskmanager/deutsch/download.html

Aber gerade so was ist immer schwierig zu analysieren...

Ich würde eigentlich sagen, gerade bei XP: neuinstallieren

 

[BrollyLSSJ]

Also bei mir hat der Task Manager bei den ersten beiden Dingern keine vernuenftige Bewertung gegeben. Ich durfte erstmal selber bewerten, weil er die nicht kannte. Die Idee ist ansonsten aber nicht schlecht. Ich wuerde mir sowas fuer den kostenlosen Process Explorer wuenschen.

villeicht kann mir ja einer von euch weiterhelfen oder hat tipps wie ich weiter vorgehen soll.

Du koenntest sonst mal mit der Kaspersky Rescue CD oder von anderen AV Herstellern die CDs benutzen.

 

[HawaiiWolf]

Nunja es gibt so viele Prozesse und Dienste da draußen, kann schon mal vorkommen, dass da einer nicht drin ist und man(n) den selber bewerten muss

 

[Falkner]

Mach mal bitte einen scan mit hijackthis und poste es bitte hier.

Ich kenne 2 trojaner, die trixen den authenticator aus, und selbst wenn du keinen hast, wird dir das vorgegaukelt. Bei allen die angeben gehackt worden zu sein, konnte ich die trojaner mit diesem log ausfindig machen
Übrigens gibt es auf dem wow forum mehrere Themen dazu.

Hier z.B. : http://forums.wow-europe.com/thread.html?topicId=12899880630&sid=3

die trojaner sind xml_inc.dll und caisp.dll meist zu finden in

O4 - HKCU\..\Run: [MS_MASTER] RUNDLL32.EXE C:\Users\Crystal\AppData\Local\Temp\xml_inc.dll,i

O4 - HKCU\..\Run: [office] "C:\Windows\system32\rundll32.exe" C:\Users\Crystal\AppData\Local\Temp\caisp.dll,S

gibt aber auch andere Einträge

 

[DarthVadda]

hier mal der hijackthis log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 22:17:01, on 06.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Cheffe\Desktop\Downloads\HiJackThis204.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 3884 bytes

 

[Falkner]

Erkenne bei dem log nichts, zumindest sehe ich die beiden Trojaner nicht die so gut wie jeder "Gehackte" aus dem wow hatte.

Hast du bei dir bei win xp auch alles sichtbar gemacht bevor du den scan gestartet hast ?

Falls nicht, dann befolge mal das was hier für XP steht :

http://www.trojaner-board.de/59624-alle-windows-dateien-sichtbar-machen.html



Hast du eventuell über eine Suchmaschine (Google etc.) etwas für oder über WoW gesucht wo man sich mit den wow- accountdaten einlogen muss ?
Eventuell bist du auf eine Phishingseite geraten.

Tippst du die World of Warcraft Internet auch selbst oben ein oder suchst du nach wow bei google um auf die Seite zu kommen ?

 

[DarthVadda]

ok, ich hab mal wie auf dem link beschrieben alles sichtbar gemacht und den scan nochmal gemacht

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 00:14:32, on 07.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Cheffe\Desktop\Downloads\HiJackThis204.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 3845 bytes

ich such schon mal was über wow im google aber tippe nirgends meine acc-daten ein.
die wow seite (wie auch die meisten anderen oft besuchten seiten) besuche ich über meine lesezeichen im firefox.
ich besuche auch keine powerlevel und oder goldseller seiten etc und meine acc-daten hab ich auch nicht an dritte weitergegeben, noch nie.
es ist mir echt ein rätsel ich mir sowas eingefangen habe.
ist es möglich sich über youtube sowas einzufangen ?

 

[emlyn d.]

@Falkner
war das, was ich hier https://www.computerbase.de/forum/threads/hijackthis-als-admin-ausfuehren.744216/#post-7944796 geschrieben habe, so unverständlich?

Hast du bei dir bei win xp auch alles sichtbar gemacht bevor du den scan gestartet hast ?

das soll was bewirken?
@HerrNielson
dass ein angreifer ein schadprogramm wieder entfernt, ist durchaus möglich, aber vielleicht lassen sich mithilfe von https://www.computerbase.de/forum/t...cht-infektion-vor-dem-posten-beachten.741157/ doch noch spuren entdecken.

 

[Falkner]

@Falkner
war das, was ich hier https://www.computerbase.de/forum/threads/hijackthis-als-admin-ausfuehren.744216/#post-7944796 geschrieben habe, so unverständlich?

Ich weiß nicht ob du dich schon etwas länger mit dem Problem der WoW Accountdiebstähle und Hacks beschäftigst, ich schon und das WoW-Forum ist voll von Meldungen und so gut wie alle(von XP bis Win7 Nutzer) hatten in ihren die von mir geposteten trojaner und diese konnte man ohne Mühe im Hijackthis log sehen.


Sind hijackthis logs bei XP verboten bzw. nicht zu verwenden ?
Also in den anderen Foren konnte man wunderbar erkennen was sache war mit solch einem Log.
Natürlich gibt es da noch andere Methoden sein System zu scanen.

Und nein, warum soll es unverständlich sein, zumal ich das bis jetzt gar nicht gelesen hatte was du da noch geschrieben hattest, da das thema für mich geklärt war.

Ergänzung (7. Juni 2010)

ich such schon mal was über wow im google aber tippe nirgends meine acc-daten ein.
die wow seite (wie auch die meisten anderen oft besuchten seiten) besuche ich über meine lesezeichen im firefox.
ich besuche auch keine powerlevel und oder goldseller seiten etc und meine acc-daten hab ich auch nicht an dritte weitergegeben, noch nie.
es ist mir echt ein rätsel ich mir sowas eingefangen habe.
ist es möglich sich über youtube sowas einzufangen ?

Schadsoftware kann man sich auch beim Besuch irgendwelche unseriösen Seiten schon einfangen ohne es zu wollen und zu merken. Ob das über Youtube auch passieren kann, ich denke nicht. Eher über irgendwelche Pornostreamseiten etc.

Hast du denn einen Authenticator denn du nutzt um dich einzulogen ?

Hast du dich schon beim Support gemeldet ?
Wenn ja, dann wird das seine Zeit dauern bis sie das geklärt haben.
Am längsten dauert es für den Support, den Authenticator von deinem Account zu entfernen (wenn du denn einen hast)
In der Zeit würde ich den PC formatieren und dein Windwos neuinstallieren.
Ändere anschließend zur Sicherheit alle Passwörter.
Email-PW, etc.

 

[Sturmgewalt]

Kann gut sein das der Keylogger erst startet wenn du WoW startest.

 

[DarthVadda]

@emlym, mach ich doch gleich

Analyse mittels D.D.S.:

DDS (Ver_10-03-17.01) - NTFSx86
Run by Cheffe at 14:36:02,46 on 07.06.2010
Internet Explorer: 6.0.2900.5512 BrowserJavaVersion: 1.6.0_20
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2622 [GMT 2:00]

AV: AntiVir Desktop *On-access scanning enabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe -k imgsvc
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Cheffe\Desktop\Downloads\dds.scr

============== Pseudo HJT Report ===============

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programme\gemeinsame dateien\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
BHO: Windows Live Anmelde-Hilfsprogramm: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\programme\gemeinsame dateien\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File
mRun: [StartCCC] "c:\programme\ati technologies\ati.ace\core-static\CLIStart.exe" MSRun
mRun: [avgnt] "c:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [itype] "c:\programme\microsoft intellitype pro\itype.exe"
mRun: [RTHDCPL] RTHDCPL.EXE
uPolicies-explorer: NoRecentDocsNetHood = 1 (0x1)
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programme\messenger\msmsgs.exe
IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\progra~1\spybot~1\SDHelper.dll
DPF: DirectAnimation Java Classes - file://c:\windows\java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\java\classes\xmldso.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
Notify: AtiExtEvent - Ati2evxx.dll
Hosts: 127.0.0.1 www.spywareinfo.com

================= FIREFOX ===================

FF - ProfilePath - c:\dokume~1\cheffe\anwend~1\mozilla\firefox\profiles\vx1sc2oj.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.tomshardware.com/de
FF - plugin: c:\dokumente und einstellungen\cheffe\anwendungsdaten\mozilla\firefox\profiles\vx1sc2oj.default\extensions\{1bc9ba34-1eed-42ca-a505-6d2f1a935bbb}\plugins\npietab2.dll
FF - plugin: c:\programme\mozilla firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
c:\programme\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\mozilla firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\mozilla firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\mozilla firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\mozilla firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\mozilla firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\mozilla firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
c:\programme\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\mozilla firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

============= SERVICES / DRIVERS ===============

R1 avgio;avgio;c:\programme\avira\antivir desktop\avgio.sys [2009-8-16 11608]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\avira\antivir desktop\sched.exe [2009-8-16 108289]
R2 AntiVirService;Avira AntiVir Guard;c:\programme\avira\antivir desktop\avguard.exe [2009-8-16 185089]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2009-8-16 56816]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-8-16 1684736]

=============== Created Last 30 ================

2010-06-06 15:02:06 0 d-----w- c:\dokume~1\alluse~1\anwend~1\SecTaskMan
2010-06-06 15:02:04 0 d-----w- c:\programme\Security Task Manager
2010-06-06 12:36:45 0 d-----w- c:\dokume~1\cheffe\anwend~1\Malwarebytes
2010-06-06 12:36:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-06 12:36:37 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-06 12:36:37 0 d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-06-06 12:36:37 0 d-----w- c:\dokume~1\alluse~1\anwend~1\Malwarebytes
2010-05-11 18:04:01 0 d-----w- c:\dokume~1\cheffe\anwend~1\TS3Client
2010-05-11 18:03:51 0 d-----w- c:\programme\TeamSpeak 3 Client

==================== Find3M ====================

2010-06-07 12:14:57 79910 ----a-w- c:\windows\system32\perfc007.dat
2010-06-07 12:14:57 448470 ----a-w- c:\windows\system32\perfh007.dat
2010-04-12 15:29:19 411368 ----a-w- c:\windows\system32\deployJava1.dll

============= FINISH: 14:36:18,96 ===============

Analyse mithilfe von UsbFix:

############################# | Usbfix 7.005 | [Research]

User: Cheffe (Administrator) # CHEF [ ]
Updated 07/06/10 by El Desaparecido / C_XX
Started at 14:41:52 | 07/06/2010
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Phenom(tm) II X4 955 Processor
CPU 2: AMD Phenom(tm) II X4 955 Processor
Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | (!) Outdated]

RAM -> 3327 Mb
C:\ (%systemdrive%) -> Fixed drive # 342 Gb (308 Mb free - 90%) [System] # NTFS
D:\ -> Fixed drive # 124 Gb (121 Mb free - 98%) [Backup] # NTFS
E:\ -> CD-ROM

################## | Files # Infected Folders |

Found ! E:\Autorun.inf
Found ! C:\Recycler\S-1-5-21-1960408961-1425521274-839522115-1003
Found ! D:\Recycler\S-1-5-21-1960408961-1425521274-839522115-1003
Found ! E:\Drag&Burn.exe

################## | Registry |


################## | Mountpoints2 |


################## | Vaccin |

(!) This computer is not vaccinated!

################## | E.O.F |


@falkner
einen authenticator hab ich nicht, support von blizz hab ich über das webformular schon am sonntag morgen angeschrieben (1h nachdem der hacker da mit meinen chars online war). der acc ist am so-abend wiederhergestellt worden, passwort resettet und den authenticator vom "hacker" wieder von meinem acc entfernt.
ich gehe davon aus das mir der keylogger oder was auch immer am samstag auf die kiste gekommen ist, da am freitag mein kollege sich von meinem rechner aus auf seinem account eingeloggt hat und der ist heil geblieben.
am samstag wiederum war nur mein sohn am rechner und er hat nur auf youtube sich videos angeschaut von irgendwelchen trickjumps im wow, wie sie auf den dächern von dala rumspringen etc, das er sich auf einschlägigen seiten herumgetrieben hat kann ich ausschliessen da ich auch mit ihm die meiste zeit im zimmer war. er ist erst 12 ist und findet wow (noch) interessanter ist als nackes fleisch.

 

[emlyn d.]

Ich weiß nicht ob du dich schon etwas länger mit dem Problem der WoW Accountdiebstähle und Hacks beschäftigst, ich schon

wenn lediglich das
...die trojaner sind xml_inc.dll und caisp.dll meist zu finden in...
das ergebnis deiner intensiven recherche ist, so könnte man geneigt sein, das als dürftig zu bezeichnen.
das knacken von game-accounts kann genauso gut durch einen ableger der weit verbreiteten magania-familie geschehen oder durch geschätzte 27 millionen andere passwort stehlende schädlinge/keylogger.

da das thema für mich geklärt war.

dann hast du das, was ich dort geschrieben habe, nicht verstanden.
@HerrNielson
in den logs lässt sich kein hinweis finden.
hat sonst noch jemand zugriff auf deinen rechner?
wie stark ist dein passwort?

 

[Falkner]

das knacken von game-accounts kann genauso gut durch einen ableger der weit verbreiteten magania-familie geschehen oder durch geschätzte 27 millionen andere passwort stehlende schädlinge/keylogger.

Richtig, es gibt so viele Trojaner, wie wir beiden nie in unserem leben Euros auf der Bank haben werden. Aber diese betreffen den Authenticator soweit ich weiß. Er hebelt bzw. täuscht dem Anwender vor, er habe seine Code falsch eingegeben und versucht es immer wieder. Derweil logt sich der Angreifer seelenruhig ins Spiel ein und räumt alles ab.

Dieses Vortäuschen , man habe das Passwort und den Code falsch eingegeben, trifft selbst auf Leute zu, die nichtmal einen Authenticator haben. Dann erscheinen so lustige Themen im WoW-Forum wie: WoW-verlangt Code obwohl ich kein Authenticator habe.

dann hast du das, was ich dort geschrieben habe, nicht verstanden.

Nein, ich habe es nicht mehr gelesen, da ich das Thema nicht mehr geöffnet hatte.
Da sich das Thema dort erledigt hatte.

hat sonst noch jemand zugriff auf deinen rechner?
wie stark ist dein passwort?

Ist ja wohl egal wie stark es ist , sollte sich ein Trojaner auf dem System befinden.

Und sollte das PW an Andere (Familie, Freunde, dem Haustier) weitergereicht worden sein, dann erübrigt sich das ganze Thema ^^

 

[emlyn d.]

ach herzchen...

Nein, ich habe es nicht mehr gelesen, da ich das Thema nicht mehr geöffnet hatte.
Da sich das Thema dort erledigt hatte.

warum du ein tool, das mit deinem system nicht kompatibel und zudem veraltet, man könnte auch sagen, unbrauchbar ist, einsetzen möchtest, erschließt sich mir immer noch nicht, aber ich muss ja auch nicht alles verstehen.

Ist ja wohl egal wie stark es ist , sollte sich ein Trojaner auf dem System befinden.

ich wollte auf weitere möglichkeiten jenseits einer trojaner-infektion aufmerksam machen.

 

[Falkner]

ach herzchen...

Schnuckelchen ...

warum du ein tool, das mit deinem system nicht kompatibel und zudem veraltet, man könnte auch sagen, unbrauchbar ist, einsetzen möchtest, erschließt sich mir immer noch nicht, aber ich muss ja auch nicht alles verstehen.

Hätte ich deinen Beitrag gelesen ( was ich ja nicht habe, da ich in das Thema nicht mehr reingeschaut habe ) hätte ich es ja dann gewusst. Ganz abgesehen davon, dass das hier völlig offtopic ist.

Ergänzung (11. Juni 2010)

einen authenticator hab ich nicht, support von blizz hab ich über das webformular schon am sonntag morgen angeschrieben (1h nachdem der hacker da mit meinen chars online war). der acc ist am so-abend wiederhergestellt worden, passwort resettet und den authenticator vom "hacker" wieder von meinem acc entfernt.

Lustig, dass auch wow-hacker den Authenticator nutzen!
Da verdient Blizzard einmal an den WoW-Spielern die das Teil kaufen und einmal den den Hackern die das Teil nutzen um WoW-Spieler aus ihrem Account auszuschließen und auszuräumen. ^^

Eine so gute Idee ist das Ganze im Grunde auch nicht, abgesehen davon, dass man sich das Ding nur mit Kreditkarte besorgen kann.Für alles gibt es alternative Bezahlmöglichkeiten(Abos,Namensänderung, Serverwechsel etc.)Aber für die Sicherheit nicht

Normalerweise müsste dar Authentificator im nächsten Addon im Packet mit enthalten sein, aber naja.

Ganz zu schweigen davon, dass man sich in das Spiel und der Acc-Verwaltung nur mit der selben E-Mail einlogen kann. Besser wäre es wenn man für die Accountverwaltung einen anderen Login-Namen hätte als die E-Mailadresse.

Ich würde an deiner Stelle den PC formatieren und danach so schnell wie möglich dein E-Mail Passwort und WoW-Account Passwort ändern.

Es könnte gut sein, dass der Trojaner (wenn es denn einer war) auch dein E-mail Passwort gesendet hat. Der Hacker könnte auf der Blizzadseite nach dem Passwort deines Accounts fragen. Blizzad schickt das PW an deine E-Mail, die gleichzeitig dein Accountname ist. Wenn der Hacker dann dein E-Mailpasswort hat, kann er wieder dein Passwort ausspähen und dein WoW-Account leer machen.

ich gehe davon aus das mir der keylogger oder was auch immer am samstag auf die kiste gekommen ist, da am freitag mein kollege sich von meinem rechner aus auf seinem account eingeloggt hat und der ist heil geblieben.

Hacker spähen die Accoundaten aus aber logen sich Tage oder Wochen später ein.
Das ist zumindest meine Erfahrung. Wenn WoW-Accountdaten gestohlen werden (völlig egal ob über einen Trojaner oder einer gefakten WoW-Seite) dann logen sich Hacker Tage oder Wochen Später ein. Das wird übrigens auch im WoW-Forum erwähnt.
Es kann auch sein, dass der Trojaner schon vor 2 Wochen auf deinem Rechner gekommen ist und erst jetzt zugeschlagen wurde.

Addons am Besten nie nutzen.
Auch wenn Gildenkollegen das verlangen.
Mir wäre das, egal wie sicher sie sind, viel zu unsicher, aber das muss natürlich jeder selbst wissen.

am samstag wiederum war nur mein sohn am rechner und er hat nur auf youtube sich videos angeschaut von irgendwelchen trickjumps im wow, wie sie auf den dächern von dala rumspringen etc, das er sich auf einschlägigen seiten herumgetrieben hat kann ich ausschliessen da ich auch mit ihm die meiste zeit im zimmer war. er ist erst 12 ist und findet wow (noch) interessanter ist als nackes fleisch.

Wie gesagt.
Der Trojaner könnte schon vor viel längerer Zeit auf euren Rechner gelangt sein.

Am Besten, man hat für Spiele wie WoW einen extra Rechner und richtet sich eigene ausgehende Regeln für seine Programme und Spiele ein. Und den Browser lässt man per Whitelist am besten nur noch auf die WoW-Seite zugreifen. Mit dem Rechner sollte dann auch nichts anderes außer spielen, gemacht werden.

Eingehende Regeln sollten alle gelöscht werden.

Falls dich das interessiert, kannst du dir das hier mal durchlesen. Allerdings ist das nur für Vista und Windows 7.

HowTo: Firewall auf Whitelist-Modus umstellen





EDIT:
Eventuell trifft das hier auch auf dich zu:

BC2:Vermeintlicher Performance-Patch enthält Trojaner
21. März 2010 | Autor: pointblanc

Aktuell erfreut sich ein inoffizieller, vermeintlich die Performance von Battlefield: Bad Company 2 verbessernder Patch wachsender Beliebtheit bei Spielern des Shooters. Angeblich sollen durch das Programm die Frameraten des Spiels um 15 bis 25 gesteigert werden können.

Wie nun allerdings im Forum der deutschen Fanseite bfcom.org berichtet wird, enthält das Stück Software einen Trojaner namens Heuristic.BehavesLike.Win32.Trojan.H. Zahlreiche Spieler, die sich den Patch in Hoffnung auf ein flüssigeres Spielerlebnis bereits installiert haben, klagten anschließend über den Verlust ihrer Steam-Accounts. Offenbar liest der Trojaner die Eingabe von Accountnamen und Passwörtern auf diversen Webseiten aus.
Also, Finger weg von inoffiziellen Patches! Solltet ihr den vermeintlichen Performance-Patch bereits installiert haben, hilft vermutlich nur das übliche Prozedere: Virenscanner zu Rate ziehen und Passwörter ändern.

Meine Quelle: http://www.bad-sniperz.eu/forum/blog.php/?p=941