Hallo und einen schönen Sonntag abend!

Ich hoffe ihr könnt mir helfen. Ich bin mir nicht sicher, ob ich was eingefangen habe oder nicht.

Ich weiss nicht ob ich einfach nur Paranoid bin, oder ob da wirklich was ist. Ich versuch meine Vermutungen zu beschreiben, achtung es könnte etwas lang werden, vielen dank für alle die sich die mühe machen das zu lesen!

Seit einigen Monaten habe ich einen neuen Laptop und bin eigentlich immer davon ausgegangen, das ich relativ verantwortungsbewusst mit der Sicherheit umgehe.

Es ist ein Asus mit Windows 7, ich achte darauf immer sofort sicherheitsupdates zu installieren, nur Programme zu haben die ich wirklich brauche und beim Klicken drauf achten, was ich klicke.

Die ganze unsicherheit fing mit meinem alten Laptop an (Dell mit Vista), ich habe dort beim installieren von Fonts, die aus dem Internet geladen wurden, ausversehen auf "erlauben" geklickt bei dem gelben Fenster der Benutzerkontensteuerung. Ich konnte nicht mehr rausfinden, was es war, und was sich installiert hatte (wenn überhaupt), der PC lief normal weiter, ganze Virenscans mit Avira und einem online scanner konnte nichts finden, ein Hijackthis-Log zeigte auch nichts auffälliges. Da der Lappi sich auch normal verhielt, dachte ich, wär wohl nichts gewesen.

Inzwischen habe ich nun den neuen Laptop und auch über USB sticks Dateien von dem alten PC übertragen.

Der neue Lappi lief auch gut bis vor ein paar Wochen.

Ich habevor einigen Wochen eine Email von einem Kunden erhalten das sein Provider ihn gewarnt hat, das sein Webspace mit einer alten Joomla installation beinah gehackt wurde und das dies verhindert wurde, (gesamter webspace wurde mit passwortschutz versehen) und das er schleunigst die scripte updaten sollte. Ich habe dann angefangen, die alte Joomla installation zu upgraden.

Als ich gerade dabei war, Dateien per ftp zu übertragen (Filezilla, pws nicht gespeichert) verschwand auf einmal ein Ordner vom Server. Und obwohl Filezilla mir bestimmte Verzeichnisrechte angezeigt hat, sagte mir der Support-Herr, das ein ganz anderes Verzeichnisrecht eingestellt ist. Das verhalten konnte ich mir nicht erklären, habe dann den Filezilla deinstalliert und eine weile mit den Server-eigenen Dateimanagern gearbeitet.

Erneute Scans von Avira haben nichts angezeigt.

Nun hat der Lappi gestern 2mal den Bildschirm kurz schwarz flackern lassen und der Button unten in der Leiste für die Tastatursprache war verschwunden.

Ein Scan mit Avira und Malwarebytes-Antimw hat keine Funde gehabt.

(Was noch zu erwähnen sei, ein Telefonat mit meinem Internetprovider vor einigen Monaten ergab, das ich einen Traffic von ca 50GB im Monat habe, was mir durchaus zuviel vorkommt - kenne mich da nicht aus, wir haben 2 lappis und sind täglich viel online, wg Arbeit und online-games sowie online streaming)

Ich habe immer wieder zwischendurch mit mit CurrPorts die aktiven Verbindungen anzeigen lassen, und konnte nie was auffälliges feststellen, wobei ich da kein experte bin und weiss nicht ob viren das irgendwie austricksen können.

Also, langer text, kurzer sinn, bin ich paranoid oder könnte da wirklich was sein?

Danke!

Hallole!

Ich glaube ihr wollt dennoch die Logs haben? Dachte am anfang vll kann mir ein experte kurz sagen, ob meine zweifel ueberhaupt begruendet sind, oder da wirklich was sein könnte. Aber, hier hier dann nachgeliefert, da zu gross habe ich als zip an den Beitrag gehängt.

Einzig beim durchlauf des GMER kamen Meldungen, das irgendwas mit system32 und eine dat oder dll nicht gelesen / geschrieben werden konnten?

Entschuldigt, hab ganz uebersehen mir die Meldung richtig zu merken oder screenshots zu machen

Hoffe das geht auch so?

Vielen vielen Dank fuer die hilfe!

Hi,

Zitat:

bin ich paranoid oder könnte da wirklich was sein?

Die Logs sehen auf jeden Fall sehr unauffällig aus.
Möchtest du trotzdem noch fortfahren?

Hallo!

Vielen Dank fuer deine Antwort!

Wegen dem weitermachen, ich wäre da auf die Antwort von euch experten angewiesen. Wenn du mir sagen kannst, "ne da ist sicher nix", dann natuerlich nicht. Vielleicht kannst du mir kurz sagen wie ich das fehlverhalten meines PCs sonst einstufen soll. Können das alles software-fehler sein?

Aber wenn du der Meinung bist, das da vll doch etwas ist, wuerde es mich sehr freuen wenn wir da sicherheit schaffen könnten, sonst bleibt das doch im Hinterkopf..

Vielen Dank!

Hallo,

Zitat:

Wenn du mir sagen kannst, "ne da ist sicher nix"

Sowas werd ich garantiert nie sagen können.

Deine Beschreibungen tönen für mich jetzt nicht verdächtig..
Wenn du mit 2 Rechnern permanent online bist und unter anderem streamst, dann kommt da schon was an Datenvolumen zusammen mit der Zeit..

Ich schlage vor, wir machen einfach mal weiter, ok?


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 2

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von Combofix
• Log von OTL

Hallo!

Vielen Dank.

Ich habe den ersten Schritt ausgefuehrt. Anbei das Log vom adwcleaner.

Es hat nur einmal rebootet.

Aber das Programm(?) hat was mit meinem Chrome Browser angestellt. Chrome sagt nachd em Scan und REboot die Einstellungen sind fehlerhaft, alle meine Erweiterungen sind verschwunden. Ich kann mich beim Yahoo konto auch nicht mehr einloggen, es sagt ständig ich solle den Cache löschen (hab ich gemacht, keine Auswirkung)

Yahoo hat das zwar schon öfters gebracht, aber nie so das es beim reload nicht behoben wäre.

Zur weiteren Beschreibung des Fehlverhaltens meines Pcs, heute den ganzen tag ist mir die Ressourcenverwaltung abgeschmiert. Mehrmals. (dies noch vor dem scan)

Ebenso ist beim arbeiten plötzlich die Webcam angegangen und das Programm von Asus zur Webcamverwaltung angegangen. Ich habe das Programm noch nie vorher benutzt und habe auch kein entsprechendes Symbol auf dem Desktop oder sonstwo, was ich ausversehen angeklickt haben könnte.

Soll ich dennoch die zwei letzte Schritte ausfuehren? Kann bei den anderen Programmen noch mehr kaputt gehen? Wenn ja, sollte ich wohl noch ausfuehrlichere Backups anlegen.

Das log von OTL hatte ich ja schon gepostet, soll ich es dennoch nochmals ausfuehren?

Log adwcleaner

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.115 - Logfile created 03/21/2013 at 16:27:43
# Updated 17/03/2013 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : Admina - TIETSIKKA
# Boot Mode : Normal
# Running from : C:\Users\Admina\Desktop\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****


***** [Registry] *****


***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16470

[OK] Registry is clean.

-\\ Google Chrome v25.0.1364.172

File : C:\Users\Admina\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

File : C:\Users\Vieras\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] File is clean.

*************************

AdwCleaner[S1].txt - [768 octets] - [21/03/2013 16:27:43]

########## EOF - C:\AdwCleaner[S1].txt - [827 octets] ##########
         

Danke danke *beunruhigt bin*

Hallo,

Zitat:

Aber das Programm(?) hat was mit meinem Chrome Browser angestellt.

Der AdwCleaner hat nichts verändert an deinem Chrome. Da muss das Problem an einem anderen Ort liegen.

Zitat:

Wenn ja, sollte ich wohl noch ausfuehrlichere Backups anlegen.

Das sollte man sowieso immer machen!
Wenn du noch wichtige Daten ohne Backup hast, dann hole das jetzt zuerst nach. Es kann immer irgendwas passieren.

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Fehlende Rückmeldung
Dieses Thema wurde aus meinen Abos gelöscht. Somit bekomme ich keine Benachrichtigung mehr über neue Antworten.
Schreib mir eine PM, falls du das Thema doch wieder fortsetzen möchtest. Dann machen wir hier weiter.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass dein Rechner schon sauber ist.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.