Möglicher WoW-Virus

[Ju3L2k8]

hallo liebe wow-freunde..

ich glaub ich hab ein ähnliches wow-virus problem. tatsächlich hat mein antivir signalisiert (öfters) dass zwei datei infiziert sind.. und siehe an eine hieß tatsächlich "wow.exe" (auf der C-partition = Systempartition). Natürlich habe ich diese datei anfangs in quarantäne gestellt und später gelöscht... hab systemcheck gemacht und nichts wurde angezeigt.

jedoch kann ich jz nicht mehr wow zocken, zumindest nicht mit freuden. das spiel beginnt alle 10-20 sekunden zu ruckeln, da glaubt man, man spielt mit nem 1000ping oder so, und die bewegungskürzel von der tastatur für die normale bewegung (sprich w,a,d,s) werden erst sekunden nachdem man sie betätigt hat ausgeführt. jedoch bin ich auch draufgekommen, dass ich mich schon beim einloggen, bzw dass es schon bei der passwort eingabe, das passwort erst mit einer längeren zeitverzögerung (1 sek) erst eingegeben wird.

vl kann sich wer aus der "hijackfile" meines pcs schlau machen und mir helfen.

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [mscrm] C:\WINDOWS\System32:mscrm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Unknown owner - C:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTServ.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 4888 bytes


ich danke jetzt schon und würde mich auch über tipps freuen, wie ich so etwas verhindern kann
mfg

 

[Natar]

ist doch normal dass ein programm exe dateien, bei welchem es nicht ganz drauskommt, als möglicher virus meldet

 

[Acerilia]

Wenn du wow.exe löscht selber schuld =O

 

[Maxugon]

Nene , meine Vorposter haben anscheinend keine Ahnung . Also , es ist schon öfters passiert das sich ein Virus in der WoW.exe versteckt hat .

Leider kann ich dir bei dem Problem nicht helfen!

 

[Ju3L2k8]

Wenn du wow.exe löscht selber schuld =O

naja ich hab eines der wow.exe files gelöscht, weil es meiner meinung nach nicht echt war, es stand dabei dass es heute "enststanden" ist, und das kanns wirkliuch nicht sein... wow kann ich ja ganz normal noch immer starten.. nur halt mit den selben problemen wie vorm löschen... hat gar nichts verändert

 

[Darequi]

Ich würd ja sagen, du hast die WoW.exe gelöscht, die zum spielen von WoW nötig ist. ^^
Würd mal das Reperatur Programm durchlaufen lassen. Dürfte dir ja dann eine neue "unveränderte" WoW.exe erstellen.
(Wäre mal wichtig zu wissen, in welchem Programmpfad die WoW.exe war. )

Aber an deinem HiJackThis kann ich nichts auffälliges erkennen. ( Hab deine File mal durch unten stehende HP gejagt! )
DU kannst es selbst einmal testen, indem du auf www.hijackthis.de gehst. ( Ist eine inoffizielle aber gute Seite, die dir auch Beschreibungen
deiner Einträge gibt. Alle Anweisungen findest du auch auf der Seite )

 

[Natar]

Nene , meine Vorposter haben anscheinend keine Ahnung . Also , es ist schon öfters passiert das sich ein Virus in der WoW.exe versteckt hat .

Leider kann ich dir bei dem Problem nicht helfen!

dann sollte wow deinstallieren/neuinstlalieren/reparieren eigentlich helfen

 

[Ju3L2k8]

sodala das kam beim programm "malwarebytes" heraus:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600

14.10.2009 13:47:57
mbam-log-2009-10-14 (13-47-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 92190
Laufzeit: 3 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mscrm (Rootkit.ADS) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\System32:mscrm.exe (Rootkit.ADS) -> Delete on reboot.

 

[Skyler93]

Neuinstallieren, geht ganz sichaaaaaaa

 

[Magickevin]

Schon versucht mit der Launcher Exe zu starten??

 

[Ju3L2k8]

Schon versucht mit der Launcher Exe zu starten??

ja klar... ich kann wow starten, ich kann mich einloggen, ich kann mich frei herum bewegen jedoch, kommt es noch immer zu diesen "ruckel-intervallen"

 

[Ju3L2k8]

Ich würd ja sagen, du hast die WoW.exe gelöscht, die zum spielen von WoW nötig ist. ^^
Würd mal das Reperatur Programm durchlaufen lassen. Dürfte dir ja dann eine neue "unveränderte" WoW.exe erstellen.
(Wäre mal wichtig zu wissen, in welchem Programmpfad die WoW.exe war. )

weiß ich nicht genau, jedemfalls auf dem C-Laufwerk im ordner system32 (C:\WINDOWS\system32)

 

[silver18781]

hallo liebe wow-freunde..

ich glaub ich hab ein ähnliches wow-virus problem. tatsächlich hat mein antivir signalisiert (öfters) dass zwei datei infiziert sind.. und siehe an eine hieß tatsächlich "wow.exe" (auf der C-partition = Systempartition). Natürlich habe ich diese datei anfangs in quarantäne gestellt und später gelöscht... hab systemcheck gemacht und nichts wurde angezeigt.

jedoch kann ich jz nicht mehr wow zocken, zumindest nicht mit freuden. das spiel beginnt alle 10-20 sekunden zu ruckeln, da glaubt man, man spielt mit nem 1000ping oder so, und die bewegungskürzel von der tastatur für die normale bewegung (sprich w,a,d,s) werden erst sekunden nachdem man sie betätigt hat ausgeführt. jedoch bin ich auch draufgekommen, dass ich mich schon beim einloggen, bzw dass es schon bei der passwort eingabe, das passwort erst mit einer längeren zeitverzögerung (1 sek) erst eingegeben wird.

vl kann sich wer aus der "hijackfile" meines pcs schlau machen und mir helfen.

C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [mscrm] C:\WINDOWS\System32:mscrm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Unknown owner - C:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\LBTServ.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 4888 bytes


ich danke jetzt schon und würde mich auch über tipps freuen, wie ich so etwas verhindern kann
mfg

fullquote ololololoolo

du glaubst net echt das dir buffed helfen kann oder?

 

[Shadowforce2]

das problem hab ich neuerdings auch!
hab allerdings nix gelöscht und auch virentechnisch meldet antivir nix.
das einzige was ich verändert hab is,dass ich jetz nen b-net acc hab...will jetz nich sagen,dass es daran liegt,aber vorher ging alles ganz normal

 

[Kerlar]

wie schon geschrieben:
repair drüberlaufen lassen, wenns dann immer noch nicht geht neu installieren.

Ansonsten auf jeden Fall deine Scanner nochmal drüberlaufen lassen. Nur weil da steht das die infizierten Dateien erfolgreich gelöscht wurden heisst das nicht, dass nicht irgendwelche Einträge übersehen wurden und du den Virus immer noch drauf hast.
Nachdem da was von rootkit steht würde ich sogar Windows komplett neu aufsetzen, aber ich bin da zugegebenermaßen auch etwas paranoid

 

[Ju3L2k8]

fullquote ololololoolo

du glaubst net echt das dir buffed helfen kann oder?

naja eigentlich shcon, aber ich hab mir schon selbst geholfen... und daraus resultierend kann ich euch sagen:

1) es gibt wow-viren wirklich -.-"
2) standardantivirprogramme wie zB avira, oder norton (als standardversion) schützen euch nicht zu 100% :/
3) kleine tools wie zB.: HiJackThis und Malwarebytes' Anti-Malware können dir in solchen situationen den *rsch retten :>

Und ich möchte mich bei allen schnellen antworten bedanken
mfg

 

[Widock]

AntiVir (:

 

[Arosk]

fullquote ololololoolo

du glaubst net echt das dir buffed helfen kann oder?

Klar kann jemand hier helfen.

Der Log ist vollkommen in Ordnung von Hijackthis...
Du solltest aber vorsichtig sein was du mit Bittorrent runterlädst.

Wenn du den "Virus" noch nicht gelöscht hat den malwarebytes gefunden hat, dann tu es.

Ein weiterer Tipp gegen Ruckler:

1. Defragmentieren
2. Alles unnötige im Hintergrund aus
3. Schauen obs bei anderen Spielen auch so ist.

 

[Darequi]

weiß ich nicht genau, jedemfalls auf dem C-Laufwerk im ordner system32 (C:\WINDOWS\system32)

In System32 sollte sich definitiv keine *.exe datei befinden.
Andererseits sollten sich betriebssystem betreffende *.dll Dateien immer in /win7/system*/ befinden xD
AntiVir liefert dort mit der Quarantäne Funktion eine gute Arbeit.

Ich möchte hier auch noch einmal auf den BMA hinweisen, den Battle.net Mobile Authentificator ^^
nachdem ihr jetzt ehh alle Battle.Net haben müsst, schaut nach,ob der BMA für euch dabei ist xD


@ Silver18781

Buffed hat aber geholfen! so what!