WoW Keylogger in rundll32.exe

LuZi · 22. Oktober 2009

Hejj Leutz.. mir is grade aufgefallen dass mein WOW Acc gehacked wurde. Also ma hijackthis drüberlaufen lassen und siehe da: ein keylogger. Kann ihn aber nicht löschen, da er in rundll32.exe läuft.

Was kann ich tun?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:28:55, on 22.10.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\PLFSetI.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Windows\explorer.exe
C:\Windows\explorer.exe
C:\Users\LuZi\Downloads\sft-loader_2008_rc4\leecher.exe
C:\Users\LuZi\Downloads\sft-loader_2008_rc4\leecher.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PLFSetI] C:\Windows\PLFSetI.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\system32\msxm192z.dll,w
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O23 - Service: fastnetsrv Service (fastnetsrv) - Sigma Designs In - C:\Windows\system32\FastNetSrv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 4627 bytes

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Anzeige

DarkRaven · 22. Oktober 2009

AW: Keylogger?!

msxm192z.dll löschen?

LuZi · 22. Oktober 2009

AW: Keylogger?!

die datei kann nicht gelöscht werden, da sie in rundll32.exe geöffnet ist

DarkRaven · 22. Oktober 2009

AW: Keylogger?!

2 Varianten:

1) Unlocker installieren und den TaskHandle schliessen, dann datei löschen
2) Im Abgesichtern Modus starten und Datei löschen.

falls du fragen zu eins der beiden hast, frag einfach! variante 1 ist schneller und einfacher.

was du auch noch machen kannst (fortgeschrittener user)
Evtl den eintrag suchen, der dazu führt dass die dll beim pc-start ausgeführt wird (unter start->ausführen->services.ms suchen oder in der regedit)

LuZi · 22. Oktober 2009

AW: Keylogger?!

unlocker öffnet sich bei mir nicht
und in regedit oder msconfig oder cmd komm ich nicht rein.

DarkRaven · 22. Oktober 2009

AW: Keylogger?!

? und services.msc`?

um den unlocker zu benutzen musst du ihn installieren und dann rechtsklick auf die datei->unlocker. und dann wählst du als aktion 'löschen' aus und auf 'alle handles schliessen

abgesicherter modus?

Rip Curl · 22. Oktober 2009

AW: Keylogger?!

Sind wir auf so billige Phishingseiten reingefallen, hum?

Wenn gar nix mehr hilft und nix mehr geht formatierst du am besten, ist zwar immer die letzte und härteste Methode aber wenn sich nix in den Speicher oder Bootsektor geschrieben hat die sicherste.

raid-rush · 22. Oktober 2009

AW: Keylogger?!

beim booten F8 drücken und abgesicherten modus wählen, danach einfach die dateien löschen.

LuZi · 22. Oktober 2009

AW: Keylogger?!

ok, das habe ich jetzt gemacht und danach lies sich windows überhaupt nicht mehr hochfahren...
habe jetzt system neu aufgesetzt.
anbei noch eine Frage. hat irgendwer erfahrungen mit wiederherstellen des equips bei wow nach einem hackangriff gemacht?

Sonderk!nd · 29. Oktober 2009

AW: WoW Keylogger in rundll32.exe

Email schreiben dann wird dein Acc gebannt für einige Zeit bis sie alles geprüft haben.
Danach bekommst du ingame eine Nachicht vom GM das du an ihn eine Liste mit allen Items schicken sollst das ganze wird dann nocheinmal überprüft und dann wird wenn alles gut läuft alles wiederhergestellt dauer der ganzen geschichte:

2-8 Wochen

Viel glück

Sir-Chriddi · 29. Oktober 2009

AW: WoW Keylogger in rundll32.exe

Ruf beim Support an, ist sicherer und schneller. Bei E-Mail dauerts teilweise ewig bis was passiert.

Nützliche Suchen

WoW Keylogger in rundll32.exe

Videos zum Themenbereich