# wow virus



## Soulheal (6. Juli 2009)

ich hab gerade ein virus bekommen trojanisches pferd TR/PSW.qni 

da steht bei den infos klaut pw von wow und noch anderen was soll ich jetzt tun ??

hab angst ein wenig


----------



## Firemen92 (6. Juli 2009)

Hio,
ich würde zuerst das Viren Programm drüberlaufen lassen, wenn du das noch nicht gemacht hast und wenn er den Virus findet ihn löschen. Danach würd ich sofort das Passwort von deinen WoW-Account ändern und vielleicht sogar von deinen e-mail Account.


----------



## Haegr@Ysera (6. Juli 2009)

Soulheal schrieb:


> ich hab gerade ein virus bekommen trojanisches pferd TR/PSW.qni
> 
> da steht bei den infos klaut pw von wow und noch anderen was soll ich jetzt tun ??
> 
> hab angst ein wenig




1. keine Panik
2. Rechner vom Netz nehmen
3. System neu aufsetzen (Festplatte formatieren, Bootsektor überschreiben)
4. Backup einspielen


----------



## Soulheal (6. Juli 2009)

aber wie seh ich das eigentlich ob der virus weg ist und nichtmehr da ist.

und wenn ich jetzt alles ändere sieht der das net?


----------



## Thewizard76 (6. Juli 2009)

Haegr@Ysera schrieb:


> 1. keine Panik
> 2. Rechner vom Netz nehmen
> 3. System neu aufsetzen (Festplatte formatieren, Bootsektor überschreiben)
> 4. Backup einspielen


/sign


----------



## Soulheal (6. Juli 2009)

1. Frage wenn ich formatiere is dann net alles weg 
2. was ist ein bootsektor 

sry für die fragen kein pc kenner


----------



## Haegr@Ysera (6. Juli 2009)

Soulheal schrieb:


> 1. Frage wenn ich formatiere is dann net alles weg
> 2. was ist ein bootsektor
> 
> sry für die fragen kein pc kenner



Natürlich ist alles weg, das ist ja auch der Sinn. Du kannst zwar das Holzpferd, im übertragenen Sinne, wieder aus der Stadt schieben, die Griechen sind aber schon längst in der Stadt. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Ein Bootsektor ist der erste Datenblock einer Festplatte in Deinem Fall. Darauf ist die Partitionstabelle und der Bootloader enthalten.


----------



## Soulheal (6. Juli 2009)

hab jetzt virus system durchlaufen lassen hat alles gelöscht und zeigt nixmehr am pc an kann ich das glauben oder is der noch drauf ??


----------



## Haegr@Ysera (6. Juli 2009)

Bei einem Trojaner weiß man nie was er noch nachläd bzw. welche Hintertüren schon offen sind. 

Geh auf http://www.hijackthis.de lad Dir das Tool, mache einen Scan. Dann poste das Logfile hier oder auf http://www.trojaner-board.de


----------



## Soulheal (6. Juli 2009)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:51, on 06.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\XpertVision\TBPanel.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.buffed.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/C...www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://intern.passul.t-online.de/cgi-bin/C...www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} (DyynoX Class) - http://webserver.dyyno.com/tng/dyyno-client/DyynoCAB.CAB
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: ,C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\825003282857mxx.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7817 bytes


das hier ?


----------



## Haegr@Ysera (6. Juli 2009)

Ja, genau.



Soulheal schrieb:


> O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)


Das solltest Du fixen, geht mit Hijackthis.



Soulheal schrieb:


> O20 - AppInit_DLLs: ,C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\825003282857mxx.dll


Das gehört da garantiert nicht hin. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Entfernen bitte.

Windows XP solltest Du Dir Service Pack 3 besorgen. Ansonsten bleibt mein 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 weiterhin unangetastet.


----------



## Soulheal (6. Juli 2009)

Heißt also es ist alles in Ordnung ???


----------



## Soulheal (6. Juli 2009)

Und was ist das was ich da löschen muss ??


----------



## Dietrich (6. Juli 2009)

Ansonsten:

Hast du keinen richtig guten Kumpel?

Anrufen und ihn bitten dein WoW/Email Passwort von seinem PC aus zu ändern!
Dann kannste heute abend auch ruhig schlafen und kannst in den nächsten Tagen in ruhe deinen PC neu aufsetzen! 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        


MfG


----------



## Haegr@Ysera (6. Juli 2009)

Das was ich zitiert habe?
Das Erste ist ein ungültiger Eintrag in der Registry, das Zweite der Rückstand eines Keyloggers.


----------



## Soulheal (6. Juli 2009)

Ok wenn das weg ist , ist mein pc wieder Viren los


----------



## Stress05 (6. Juli 2009)

Dietrich schrieb:


> Anrufen und ihn bitten dein WoW/Email Passwort von seinem PC aus zu ändern!
> 
> MfG



kann man auch auf den 2 pc machen 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 wenn man einen 2 hat 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Haegr@Ysera (6. Juli 2009)

Soulheal schrieb:


> Ok wenn das weg ist , ist mein pc wieder Viren los



Also zu 100% würde ich das nicht unterschreiben. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        

 Ich weiß ja nicht was der Trojaner noch macht. 

Um bei Troja zu bleiben, Du hast das Pferd verbrannt. Ob die Griechen schon in der Stadt sind, kann ich Dir nicht sagen.


----------



## Soulheal (7. Juli 2009)

Vielen dank an alle


----------



## Raefael (7. Juli 2009)

Haegr@Ysera schrieb:


> --snipped--
> Um bei Troja zu bleiben, Du hast das Pferd verbrannt. Ob die Griechen schon in der Stadt sind, kann ich Dir nicht sagen.


Der ist Spitze  


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        


Den werd ich mir für meine Kunden merken.

//Rafa


----------



## Tikume (7. Juli 2009)

Statt ewig rumzuschrauben um sich dann immer noch nicht sicher zu sein ob man den Schädling los ist sollte man besser sein System gleich neu machen.
Windows ist kein Wein, das wird nicht besser mit den Jahren in denen es auf der Platte lagert ....


----------



## Haegr@Ysera (7. Juli 2009)

Tikume Du hast völlig recht, nur bekommt es Otto Normal User immer wieder um die Ohren gehauen. Removal Tools hier, Removal Tools da. 
Selbst die ,von mir ehemals sehr geschätzte, c't ist schon auf den "Antiviren Propaganda" Zug aufgesprungen. Warum soll ich mir da die Finger wundtippen und mich flamen lassen?
Es ist sein Rechner, er bekommt das, was er möchte. 

Es wird immer nur gefragt: Ich habe mir Schadsoftware XYZ eingefangen, wie kriege ich das weg?

Niemals fragt einer: Ich habe mir Schadsoftware ZYX eingefangen, was mache ich, damit mir das nicht noch einmal passiert?

Sicherheit am Computer und Bequemlichkeit passen halt nicht zusammen. Man muß Abstriche machen und Otto Normal User macht diese an der Sicherheit.

Beim TE zb. gibt es viel mehr zu beanstanden als das Service Pack, aber er hat mich nicht gefragt, ergo halte ich die Finger still.


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



Ich will hier keine neue Diskussion starten, ich warte lieber, bis hier der nächste mit einer Infektion aufschlägt. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        



edit:


Tikume schrieb:


> Windows ist kein Wein, das wird nicht besser mit den Jahren in denen es auf der Platte lagert ....


Hehe, ich kann mich gut an die Installationsorgien bei den alten Win"DOS"en erinnern. Ich glaube es gab da einen richtigen Sport. Wer installiert Win 98 am häufigsten im Monat? 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        


Heute sieht das ein wenig anders aus unter der NT Oberfläche. Windows ist ein bissel wie ein Garten, es muß gehegt und gepflegt werden. Aber es muß auch mal umgegraben werden. Erst recht wenn ein Maulwurf durch die Beete gepflügt ist. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Ennia (7. Juli 2009)

sicher, bei privaten rechnern ist es völlig sinnlos, sich den kopf darüber zu zerbrechen, wie man sowas mit removals weg bekommt...

das ding neu aufsetzten und gut ist's.

Mich stört aber das mit dem MBR, dass du zu Anfang erwähnt hast... ist nicht unbedingt wahr.


----------



## spectrumizer (7. Juli 2009)

Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        


/deswegen dafür


----------



## Haegr@Ysera (7. Juli 2009)

Ennia schrieb:


> Mich stört aber das mit dem MBR, dass du zu Anfang erwähnt hast... ist nicht unbedingt wahr.



Was ist nicht unbedingt wahr?

Daß man den Bootsektor überschreiben sollte, oder das der Bootsektor der erste Datenblock auf einer HD ist?


----------



## Ju3L2k8 (14. Oktober 2009)

hallo liebe wow-freunde..

ich glaub ich hab ein ähnliches wow-virus problem. tatsächlich hat mein antivir signalisiert (öfters) dass zwei datei infiziert sind.. und siehe an eine hieß tatsächlich "wow.exe" (auf der C-partition = Systempartition). Natürlich habe ich diese datei anfangs in quarantäne gestellt und später gelöscht... hab systemcheck gemacht und nichts wurde angezeigt.

jedoch kann ich jz nicht mehr wow zocken, zumindest nicht mit freuden. das spiel beginnt alle 10-20 sekunden zu ruckeln, da glaubt man, man spielt mit nem 1000ping oder so, und die bewegungskürzel von der tastatur für die normale bewegung (sprich w,a,d,s) werden erst sekunden nachdem man sie betätigt hat ausgeführt. jedoch bin ich auch draufgekommen, dass ich mich schon beim einloggen, bzw dass es schon bei der passwort eingabe, das passwort erst mit einer längeren zeitverzögerung (1 sek) erst eingegeben wird.

vl kann sich wer aus der "hijackfile" meines pcs schlau machen und mir helfen.

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [mscrm] C:\WINDOWS\System32:mscrm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Unknown owner - C:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTServ.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 4888 bytes


ich danke jetzt schon


----------



## Rethelion (14. Oktober 2009)

@Ju3L2k8: In welchem Ordner lag denn die Wow.exe? Nicht dass es ein Fehlalarm war und du die Startdatei von WoW gelöscht hast^^ 

Was mir in deinem Log auffällt, die Datei C:\WINDOWS\System32:mscrm.exe.
Kannst du mal schaun ob du sie findest und dann bei http://www.virustotal.com/de/ hochladen um zu überprüfen ob sie infiziert ist?


----------



## Raefael (14. Oktober 2009)

Tach,

der Bösewicht scheint sich hier "*O4 - HKLM\..\Run: [mscrm] C:\WINDOWS\System32:mscrm.exe*" zu verstecken.
Google gibt leider nicht all zu viel her.
Die Aussage von Prevx lässt bei mir allerdings alle Alarmglocken läuten!


> mscrm.exe is also known as
> *WOW.EXE
> *68810673.EXE
> *53179266.EXE


An Deiner Stelle würde ich auf Nummer sicher gehen und von einem anderen Rechner aus Deine Passwörter ändern und dann z.B. die Liste zum entfernen vom Trojaner Board abarbeiten.

//Rafa

P.S. 
Sorry, Rethelion aber entweder spinnt das Board, meine Uhr oder ich war blind. Hab Deinen Post übersehen. 


			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------

