Ist da was im Gange?

[ichbinnichtschuld]

die erde ist eine scheibe!

mal ehrlich, ziemlich lustig was hier so einige schreiben, oder traurig? keine ahnung.

der verlust durch selber accs 'hacken' wäre größer als der gewinn durch verkaufte authenticators.
bnet acc für alle wurde angekündigt und wird in naher zukunft eh pflicht.
blizz ist viel zu groß um sowas geheimzuhalten. wie bei der mondlandung: alles klar die damals 500.000 mitarbeitenden amerikaner schweigen und nehmen das geheimnis des fakes mit ins grab.

 

[mad_chaos]

Den header nicht den Absender. In den Absender kann man schreiben was man will *g*

sry: World of Warcraft - Account Under Review
Sonntag, 13. September, 2009 10:16 Uhr

Naja, fands halt seltsam so ne Mail zu kriegen wo ich schon seid bestimmt 1 1/2 Jahren kein WoW mehr spiel *g*

 

[Testare]

hast es die letzten Tage gemacht? was vor 2-3-4 jahren waren is relativ uninteressant weil das defacto momentaner stand ist

kaspersky hab ich durchlaufen lassen, sowie avast und sämtliche online scanner die man nutzen kann, alle ohne ergebnis

Ergebnis mit Hijackthis?

 

[Elandrana]

Ergebnis mit Hijackthis?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:27:20, on 14.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\DllHost.exe
E:\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\HerrMannelig\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tino
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32\rundll32.exe" "C:\Programme\NOS\bin\getPlus_Helper.dll",Uninstall /Get1noarp
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partne...can_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shock...ash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 5715 bytes

 

[Torode]

Öhm, also eine Hack-Aktion oder sonstiges von Blizzard ausgehend halte ich für höchst unwahrscheinlich, sollte das herauskommen, dass dies stimmt, (ja liebe AION und Rest Fanboyz) ist das wahrscheinlich auch der Kopfschuss für Blizzard und somit das Ende von WoW, weil wer möchte solch einen "Service" weiterhin bezahlen?

 

[Redday]

ich bleib dabei. wer "gehackt" wurde, war einfach irgenwann mal so blöd seine daten irgendwo einzugeben oder sich von dubiosen seiten etwas runterzuladen. in beiden fällen selber schuld.
oder er war mal so dumm, auf gefakte blizzard seiten reinzufallen. auch selber schuld. denn die sind ja für jeden über dem IQ eines hydranten leicht zu durchschauen.

einen echten "hack", un die wenigsten hier wissen, was das überhaupt ist, gibt es so gut wie nie.

und dass die "opfer" den ganzen vorgang in den leuchtendsten farben schildern ist ja wohl kein wunder.

also net jammern, sondern denken.

 

[Testare]

@Elandra:

http://hijackthis.de/gfx/actions/discuss.gif http://hijackthis.de/gfx/actions/help.gif​

O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32\rundll32.exe" "C:\Programme\NOS\bin\getPlus_Helper.dll",Uninstall /Get1noarp

http://hijackthis.de/gfx/state/nasty.gif​

http://hijackthis.de/gfx/state/rating_0.gif
​

Nasty (2.8 / 5.00)


File Behavior
GETPLUS_HELPER.DLL has been seen to perform the following behavior:

• Enables an In Process Object/Server - Common with DLL Injections
• Registers a Dynamic Link Libray (DLL) File
• The Process is packed and/or encrypted using a software packing process

GETPLUS_HELPER.DLL has been the subject of the following behavior:

• Created as a new Background Service on the machine
• Added as a Registry Key (RUNONCE) to auto start Programs on system start up
• Deleted as a process from disk
• Enabled as an In Process Object/Server - Common with DLL Injections
• Created as a process on disk
• Registered as a Dynamic Link Libray (DLL) File
• Executed as a Process

http://www.prevx.com/filenames/X1253892091...HELPER.DLL.html









Da haben wir den Trojaner

 

[karisikpizza]

Als mein account gehackt wurde und web-formular ausgefüllt habe, habe ich auch ein e-mail von donotreply@blizzard.com.cn bekommen.

Hab dann mitarbeiter angerufen und meinte das ich diese web-formular an falsche seite geschickt habe( hääää)??

aber danach iwie hab ich mein acount zurückbekommen

 

[Sukie]

Ich kenn mich zwar selber nicht so wirklich mit "Hacken" etc aus, bin nur nen armes kleines Mädel was nicht soviel Plan davon hat, doch auch mein Account wurde gestern gehackt undzwar weil ich meinen WoW-Acc zu dem Battle.net Acc hinzufügen wollte. Diese Seite war die ganz normale Battle.net Seite von Blizz... warum kursieren dann dort bitte Hacker? Ich meine, Blizzard wirbt damit sich dort seinen Account verbinden zu lassen, um dann feststellen zu müssen, das man durch diesen Dienst von Blizz gehackt wurde.. also irgendwie o.O

Oder seh ich da was falsch?

 

[Elandrana]

Da haben wir den Trojaner

öhm naja da steht

"The filename GETPLUS_HELPER.DLL is used by objects that are classified as safe. It has not yet been seen to be associated with malicious software.

If you are concerned that your PC might be infected why not try our Free Prevx Scanner. It will thoroughly check your PC for millions of active Spyware and malware infections and takes less than 2 minutes. Don't put your confidential data, or your identity at risk, check your PC now with Prevx."

und den Prevx Scanner hab ich drauf

 

[Tweetycat280]

Testare wie hast du das gemacht

aha Adobe mal wieder

 

[LeFonz]

Schon mal daran gedacht, das der Router evtl. gehackt wurde? Und durch eine DNS-Umleitung die falschen Seiten dargestellt werden?
Da kann der Virenscanner auf dem lokalen Rechner noch so häufig laufen.

 

[Testare]

Testare wie hast du das gemacht

aha Adobe mal wieder

Einfach Hijackthis auswerten und die fragliche Datei gegoogelt im Trojanerboard





Das ganze ist eine Schwachstelle im Adobe, der Schadcode einschleusen lässt - wahrscheinlich in diesem Fall irgendwo noch was auf dem Rechner was eben die Supportseite redirectet

 

[Tweetycat280]

hmm Prevx da hat ich schonmal was ähnliches hatte beim einschalten des Internetexplorer ne Meldung das mein PC ein Virus hat u das ich mir da nen Antivirenprogram ziehen soll.

hab mir dann so ein Spyware ding geholt das hat nen Cookie gefunden und mit meinem neuen Antivirenprogramm hab ich es gelöscht

 

[Hafuku]

Schon mal daran gedacht, das der Router evtl. gehackt wurde? Und durch eine DNS-Umleitung die falschen Seiten dargestellt werden?
Da kann der Virenscanner auf dem lokalen Rechner noch so häufig laufen.

man sieht das du keine ahnung hast wie schwer es eigenltich ist einen router zu manipulieren O_o
(solange der router nicht ein pc ist auf dem ein ganz normales winxp ect. läuft)

 

[Redday]

Ich kenn mich zwar selber nicht so wirklich mit "Hacken" etc aus, bin nur nen armes kleines Mädel was nicht soviel Plan davon hat, doch auch mein Account wurde gestern gehackt undzwar weil ich meinen WoW-Acc zu dem Battle.net Acc hinzufügen wollte. Diese Seite war die ganz normale Battle.net Seite von Blizz... warum kursieren dann dort bitte Hacker? Ich meine, Blizzard wirbt damit sich dort seinen Account verbinden zu lassen, um dann feststellen zu müssen, das man durch diesen Dienst von Blizz gehackt wurde.. also irgendwie o.O

Oder seh ich da was falsch?

du wurdest nicht gehackt. du bist nur auf ne fake seite reingefallen.
also wie immer selber schuld.

 

[Testare]

öhm naja da steht

"The filename GETPLUS_HELPER.DLL is used by objects that are classified as safe. It has not yet been seen to be associated with malicious software.

If you are concerned that your PC might be infected why not try our Free Prevx Scanner. It will thoroughly check your PC for millions of active Spyware and malware infections and takes less than 2 minutes. Don't put your confidential data, or your identity at risk, check your PC now with Prevx."

und den Prevx Scanner hab ich drauf

Jo der KANN die Schwachstelle bereinigen, nicht aber das andere fiese Zeugs was bei Dir offenbar über eben jene Schwachstelle reingekommen ist und Dir das Supportformular redirectet.
Und da das ganze ziemlich neu ist erwarte ich auch noch keinen Virenscanner da was zu finden - schätze da hilft erstmal nur komplett System neu aufsetzen

 

[Stofftier89]

Ohne mir jetzt alles hier durchgelesen zu haben muss ich sagen

kla wurde Blizz zu einem gewissen teil gehackt
das sieht man ja alleine daran, das z.B. in Og die ganzen leichen vorm AH Liegen, und diese zusammen dann ein Symbol oder ein Wort ergeben, die sterben ja nicht von ungefair genau da, und alle in genau der selben Richtung...

und dazu meinte mal ein Kumpel zu mir

"Das Liegt daran, das die Blizz Server mal wieder gehackt wurden"...

naja


mehr wollt ich ned dazu sagen ;-)

 

[Elandrana]

Jo der KANN die Schwachstelle bereinigen, nicht aber das andere fiese Zeugs was bei Dir offenbar über eben jene Schwachstelle reingekommen ist und Dir das Supportformular redirectet.
Und da das ganze ziemlich neu ist erwarte ich auch noch keinen Virenscanner da was zu finden - schätze da hilft erstmal nur komplett System neu aufsetzen

und genau das habe ich getan, BEVOR ich auf dem Formular war und es ausgefüllt habe und BEVOR ich dann die Email von der Adresse bekommen habe

 

[Tweetycat280]

hmm wäre das nicht was für Techn. Supportforum auf der WoW-Seite immerhin habt ihr jetzt die halbe Nacht euch um die Ohren geschlagen

Elandrana welchen Adobe hast du drauf