|
Plagegeister aller Art und deren Bekämpfung: Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendetWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.06.2012, 17:33 | #1 | ||||||||||||||||||||||||||||||||||||||||||||||||
| Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet Hallo Zusammen, vielen Dank, dass es freiwillige Helfer hier im trojaner-board gibt.. Auf meinem Rechner befindet sich laut Avast ein Virus und mein E-Mail-Konto wurde gehackt. Über meinen Rechner und mein Surfverhalten: Ich nutze Windows 7 Service Pack 1 x86 NTFS. Avast! Free. Malwarebytes. Panda USB Vaccine. Sandboxie. Firefox 13.0.1, surfe über Sandboxie und nutze die Addons, ausser Adblock Plus, NoScript und GlassMyFox, nur in der Sandbox. Die Host-Datei ist leer. Kein Proxy. SEHOP aktiviert (DisableExceptionChainValidation = 0). DEP (Data Execution Prevention) ohne Ausnahme aktiviert. Autorun deaktivert. Eingeschränkter Nutzer: Das Adminkonto nutze ich nur, wenn ich Windows-Updates (eigentlich auf automatisch gestellt, jedoch überprüfe ich zuvor, welche der optionalen ich brauche) oder Malwarebytes aktualisiere bzw. beim installieren neuer Programme. Avast! fand bei der Vollständigen Überprüfung einen Virus. Mit Boot-Scan/Startzeit-Überprüfung von Avast! wurde nichts gefunden. Die Vollständige Überprüfung möchte ich ungerne hochladen, da sie sehr viele persönliche Daten erhält. 27.764 Seiten in Word. Avast fand folgendes: Code:
ATTFilter * * avast! Bericht * Diese Berichtdatei wurde automatisch erstellt * * Prüfungsname: Vollständige Überprüfung * Start: Dienstag, 26. Juni 2012 00:00:14 * VPS: 120625-0, 25.06.2012 * PID 0 [+] ist OK PID 4 [+] ist OK C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$R1LWCGO.rar|>283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\FS_2011.mdf [E] Archiv ist kennwortgeschützt. (42056) Status: Fehler: Archiv ist kennwortgeschützt (42056) Aktion: keine C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RFMU3CH.rar|>283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\TEL.pdf [E] Archiv ist kennwortgeschützt. (42056) Status: Fehler: Archiv ist kennwortgeschützt (42056) Aktion: keine C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RFMU3CH.rar|>283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\FS_2011.mds [E] Archiv ist kennwortgeschützt. (42056) Status: Fehler: Archiv ist kennwortgeschützt (42056) Aktion: keine C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RQJWCEN.exe|>[UPX] [L] Win32:InstallCore-AM [PUP] (0) C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RQJWCEN.exe:Zone.Identifier [+] ist OK Schweregrad: Niedrig Status: PUP: Win32:InstallCore-AM[PUP] Aktion: In Container verschoben Malwarebytes fand nach einer Vollständigen Prüfung auf meinem Rechner nichts. Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.06.19.04 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 9.0.8112.16421 NonAdmin :: USER [limitiert] 26.06.2012 10:37:33 mbam-log-2012-06-26 (10-37-33).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 264286 Laufzeit: 50 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Mein E-Mail-Konto bei Hotmail wurde gehackt. Meine bei Firefox benutzten Erweiterungen:
Ich nutze Hotmail ausschließlich im Browser. Jetzt habe ich zwar den Zugriff drauf wieder und das Kennwort auch geändert. Aber wie mein E-Mail-Konto gehackt wurde, kann ich mir nicht erklären. Mit meinem E-Mail-Konto bin ich nirgendswo registriert und gebe sie außer Freunden niemanden weiter. Ausschließlich lese und schreibe ich dort private E-Mails von Freunden. Junk-Mails kommen nie welche an, somit bekam ich noch nie eine Hotmail oder mir verdächtige E-Mail. Von meinem E-Mail-Konto aus wurde Spam verschickt, welcher einen Link erhielt. Wer diesen Link angeklickt hat, wird dessen Konto ebenfalls übernommen und von demjenigen aus werden erneut Spam-Mails versendet. Ein Beispiel der E-Mails: Code:
ATTFilter X-Originating-IP: [124.103.87.16] [x] Subject: Date: Sun, 17 Jun 2012 12:58:45 +0200 Importance: Normal MIME-Version: 1.0 --_ad61dc4a-59b5-40c0-a497-598f0de00cf0_ Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable hxxp://www.republicansagainstdeal.com/wp-content/themes/smells-like-facebo= ok/googles.html?eefv=3Dogbh.jdg&himoj=3Dte.ww&sgb=3Duwiy = --_ad61dc4a-59b5-40c0-a497-598f0de00cf0_ Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable <html> <head> <style><!-- .hmmessage P { margin:0px=3B padding:0px } body.hmmessage { font-size: 10pt=3B font-family:Tahoma } --></style></head> <body class=3D'hmmessage'><div dir=3D'ltr'> <font style=3D"font-size: 10pt=3B" size=3D"2" face=3D"Tahoma "><a href=3D"h= ttp://www.republicansagainstdeal.com/wp-content/themes/smells-like-facebook= /googles.html?eefv=3Dogbh.jdg&himoj=3Dte.ww&sgb=3Duwiy"> hxxp://www.republi= cansagainstdeal.com/wp-content/themes/smells-like-facebook/googles.html?eef= v=3Dogbh.jdg&himoj=3Dte.ww&sgb=3Duwiy</a></font> </div></body> </html>= --_ad61dc4a-59b5-40c0-a497-598f0de00cf0_-- Code:
ATTFilter BITTE NICHT ANKLICKEN! hxxp://www.redteamproduction.com/wp-content/themes/vibrantcms/layouts/goog= les.html?bfc=3Dvbb.mig&rth=3Dmkv.sus&ghb=3Dozau hxxp://www.nmgphotography.com/nmgblog/wp-content/themes/prophoto3/googles.= html?sdm=3Dvbb.sxfs&fgw=3Dmgh.hkm&shc=3Dxksz Whois-Abfrage: Code:
ATTFilter Results for 124.103.87.16 : % [whois.apnic.net node-2] % Whois data copyright terms hxxp://www.apnic.net/db/dbcopyright.html inetnum: 124.96.0.0 - 124.103.255.255 netname: OCN descr: NTT Communications Corporation descr: 1-6 Uchisaiwai-cho 1-chome Chiyoda-ku, Tokyo 100-8019 Japan country: JP admin-c: JNIC1-AP tech-c: JNIC1-AP status: ALLOCATED PORTABLE remarks: Email address for spam or abuse complaints :abuse@ocn.ad.jp mnt-by: MAINT-JPNIC mnt-lower: MAINT-JPNIC changed: hm-changed@apnic.net 20060201 source: APNIC role: Japan Network Information Center address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda address: Chiyoda-ku, Tokyo 101-0047, Japan country: JP phone: +81-3-5297-2311 fax-no: +81-3-5297-2312 e-mail: hostmaster@nic.ad.jp admin-c: JI13-AP tech-c: JE53-AP nic-hdl: JNIC1-AP mnt-by: MAINT-JPNIC changed: hm-changed@apnic.net 20041222 changed: hm-changed@apnic.net 20050324 changed: ip-apnic@nic.ad.jp 20051027 source: APNIC inetnum: 124.103.0.0 - 124.103.127.255 netname: OCN descr: Open Computer Network country: JP admin-c: AY1361JP tech-c: KK551JP tech-c: TT10660JP tech-c: TT15086JP remarks: This information has been partially mirrored by APNIC from remarks: JPNIC. To obtain more specific information, please use the remarks: JPNIC WHOIS Gateway at remarks: hxxp://www.nic.ad.jp/en/db/whois/en-gateway.html or remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client remarks: defaults to Japanese output, use the /e switch for English remarks: output) changed: apnic-ftp@nic.ad.jp 20060413 changed: apnic-ftp@nic.ad.jp 20080630 source: JPNIC PS: Hat Facebook kein gültiges SSL-Zertifikat oder werde ich hier umgeleitet? Als ich https://www.facebook.de aufrief, bekam ich die Firefox Meldung angezeigt, dass dieser Verbindung nicht vertraut werde. Wie sollte ich vorgehen, um den Virus zu beseitigen und die undichte Stelle zu finden? Danke für euer Intresse. Schöne Grüße, Alex |
01.07.2012, 16:38 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendetCode:
ATTFilter >283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\FS_2011.mds Siehe auch => http://www.trojaner-board.de/95393-c...-software.html Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden. Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein! In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________ |
02.07.2012, 11:25 | #3 |
| Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet
|
02.07.2012, 13:48 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet Ja schön aber wer gecrackte Software verwendet muss mit Sicherheitsproblemen rechnen
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet |
adblock, anti-malware, automatisch, autostart, avast, code, computer, dateien, dateisystem, email, erweiterungen, explorer, fehler, folge, gehackt, heuristiks/extra, heuristiks/shuriken, hotmail, klicke, link, link angeklickt, nicht vertraut, rechner, recycle.bin, seite, seiten, spam, trojaner-board, umgeleitet, usb, verbindung, vikings, virus, virus win32:installcore-am e-mail spam, win32, windows |