Hallo

Ich brauche eure Hilfe.
Mein WoW Accout wurde gehackt, als ich mich einloggen wollte war mein Passwort geändert. Also hab ich es über die Passwort- Wiederherstellung zurückbekommen und noch einmal geändert (12 Zeichen davon 6 Zahlen).

Als ich mich eingeloggt habe, waren fast alle Sachen Weg und ich hatte nur noch 30Gold (statt 300)... Komisch, normal sind doch alle Sachen weg und das ganze Gold auch..

Naja ich hab das einem Gamemaster gesagt und nach etwa 3 Tagen habe ich alle Sachen wiederbekommen.

Jetzt habe ich gestern eine E-mail bekommen, dass jemand meine Passwort wiederherstellung benutzt hat. Ich habe mich mit dem Passwort eingeloggt und zack: Schon wieder alles weg.. genau wie vorher.. Ich bin an genau dem selben ort und habe fast die selben Sachen. nur diesmal noch 60Gold...

Ich habe alle möglichen Virenscanner, Spybot, RootkitRevealer usw drüber laufen lassen. (Vor dem 2. hack)

Bitte helft mir, ich weiß nichtmehr weiter.
Die einzigste Möglichkeit wäre zu Formatieren..
Oder habt ihr eine ander idee??

Danke schonmal!!

Lg

ich würde meinen, dass auch dein email-account geknackt wurde^^

Guck mal deine Registry an und poste hier mal bitte einen Hijackthis Log.
Weiterhin ändere mal das Password deiner E-Mail.

Also Change Alle Passwörter auch email wenn das nicht hilft dann formatieren

Hi

Erstmal danke für die schnellen Antworten..
Also E-mail Account hab ich eben geändert.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:15, on 29.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\FastNote\kfn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 cmicnfg3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [SpybotDeletingA3369] command /c del "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\M0000"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5933] cmd /c del "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\M0000"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB1067] command /c del "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\M0000"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4074] cmd /c del "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\M0000"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9490] command /c del "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1\D0000"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2424] cmd /c del "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1\D0000"
O4 - HKCU\..\RunOnce: [SpybotDeletingB5344] command /c del "C:\Programme\KGB\sqlite3.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD5052] cmd /c del "C:\Programme\KGB\sqlite3.dll_old"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Fast Note.lnk = C:\Programme\FastNote\kfn.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211728553573
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211731109183
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: Love - C:\WINDOWS\SYSTEM32\LoveFly.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: C - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Lexus\LOKALE~1\Temp\C.exe
O23 - Service: Droppix Service - Droppix - C:\Programme\Gemeinsame Dateien\Droppix\DxService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8825 bytes

LoveFly.dll

lovefly.dll relate to Troj/WowPWS-A a password stealing Trojan for the Windows platform. Troj/WowPWS-A targets the online game World of Warcraft, and attempts to steal account details.

C:\WINDOWS\SYSTEM32\LoveFly.dll


Hast noch mehr schädliche Software, geh mal auf
http://www.hijackthis.de/
dort kannst du dann sehen wo Malware ist und dann löschen

Hmm das muss es sein!
Aber ich bekomme das nicht gelöscht..

Weder Kaspersky noch Spybot kann es löschen, weil sie in der Datei keinen Virus finden..

Und: Wie bekomme ich raus, mit welche Datei ich mir den eingefangen habe? Nicht das ich das nochma ausführe...

Danke schonmal!!!!

Probier mal Spybot Search & Destroy. Musst du nur downloaden und updaten.
Da die Malware relativ bekannt ist, sollte es gelöscht werden.

Ansonsten mal versuchen von Hand zu löschen, den Pfad kennst du ja.

kann dir zu not nen neuen geben

Spybot findet in der Datei keine Malware (grad Upgedatet).
Per Hand geht nicht weil die Datei in benutzung ist -.-

Wie viele WOW-Accounts haste denn? oO
Sonst die .DLL mit dem "UNLOCKER" löschen, selbst wenn er keine Threads findet kann er die beim Neustart verhindern und die DLL löschen =)

3-4 wow accounts^^

Hmm habs jetzt mit dem File Shredder von Spybot gemacht... zack weg war se..
Ich hoffe mal das wars jetzt..

Vielen dank, ihr habt mir sehr geholfen!!!!!

Aber wie find ich jetzt raus in welcher Datei er drin war?