Hallo,

mein Vater hat eine Mail von der Telekom (abuse@t-online.de) bekommen:

"wir schreiben Ihnen heute aus einem unerfreulichen Grund, denn wir haben
Ihre Internet-Zugangsnummer als Quelle von Massen-E-Mails identifiziert.

Vermutlich haben sich Unbekannte Zugriff zu Ihrem Internet-Zugang oder
zu Ihren Passwörtern für unsere Dienste verschafft. Gegebenenfalls sind
diesen Personen auch andere Passwörter, Kreditkarten-, Bank- und
sonstige Daten bekannt.

Daher unsere dringende Bitte: Prüfen Sie unbedingt Ihren Computer, um
die missbräuchliche Nutzung Ihres Zugangs zu unterbinden, und ändern Sie
Ihre Passwörter. Um weiteren Missbrauch zu erschweren, haben wir nun den
E-Mail-Verkehr eingeschränkt. Die Einschränkung bedeutet für Sie, dass
der Versand von E-Mails über Ihre *@t-online.de Adresse gesperrt wurde
(Mailversandsperre). Das Versenden über E-Mail Portale wie
beispielsweise unserem E-Mail Center unter https://email.t-online.de ist
hiervon nicht betroffen.

..."

Ich versuche ihm nun per Teamviewer zu helfen. Folgendes habe ich bis jetzt unternommen:

Defogger, OTL und GMER ausgeführt. Bei OTL liefen noch Teamviewer und Firefox; bei GMER habe ich meinen Vater instruiert alles genau so wie beschrieben durchzuführen. Log files im Anhang.

Außerdem wie in der Telekom-Mail empfohlen, auf www.botfrei.de/telekom die DE-Cleaner von Avira und Kapersky heruntergeladen. Avira hat nach Stunden nichts gefunden, der Scan von Kapersky läuft gerade und ist nach 25 Minuten bei 2%.

Ich hoffe, es kann jemand von Euch helfen, beim Thema Viren und Trojaner bin ich nicht gerade bewandert. Vielen Dank schon mal im Voraus.

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



dann:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo t'john,

erstmal danke für das Willkommen im Board und für die Hilfe :-)
Bin schon öfters über das Board gestolpert, wenn mir an meinem Rechner etwas spanisch vorkam und ich dazu gegooglet hab, aber hatte bis jetzt noch nie konkreten Hilfebedarf - bis gestern ...

So nun zum Notebook meines Vaters:

- Malwarebytes hat nichts gefunden:

Zitat:

Malwarebytes Anti-Rootkit BETA 1.01.0.1022
www.malwarebytes.org

Database version: v2013.04.08.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
User :: USER-PC [administrator]

08.04.2013 21:27:52
mbar-log-2013-04-08 (21-27-52).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 29875
Time elapsed: 20 minute(s), 44 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

- Aber nach dem Scan meldete Avira einen Fund:

Zitat:

Der Zugriff auf die Datei 'C:\User\User\Desktop\...\setgooglesearch.exe', die einen Virus oder ein unerwünschtes Programm 'TR/Agent.51860.1' enthält, wurde vereigert.

Die Datei befindet sich in einer Kopie des Profils meines Vaters von seinem alten Notebook und wurde sher wahrscheinlich auf dem neuen nicht mehr ausgeführt. Ich hatte die Nutzdaten herauskopiert und den alten Profilordner zur Sicherheit stehengelassen, falls ich etwas zu kopieren vergessen habe. Die genannte Datei habe ich von Avira in Quarantäne setzen lassen.

- ADW-Cleaner meldete folgendes:
AdwCleaner Logfile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.200 - Datei am 08/04/2013 um 21:39:10 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (64 bits)
# Benutzer : User - USER-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\User\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\ProgramData\Ask

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\SmartBar
Schlüssel Gelöscht : HKCU\Software\Conduit
Wert Gelöscht : HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist [1]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16470

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.avira.com/?l=dis&o=APN10261&gct=hp&dc=EU&locale=de_DE --> hxxp://www.google.com

-\\ Mozilla Firefox v20.0 (de)

*************************

AdwCleaner[S1].txt - [951 octets] - [08/04/2013 21:39:10]

########## EOF - C:\AdwCleaner[S1].txt - [1010 octets] ##########
         

--- --- ---


Nun noch etwas: Es gibt bei meinen Eltern noch einen zweiten PC im WLAN, an den ich gestern nicht gedacht hatte - eine uralte Kiste mit Windows XP, den meine Mutter benutzt. Ich weiß nicht, warum ich gestern nicht auf den Gedanken kam ...

Werde nun das gleiche Programm dort vollziehen und hier melden.

Aktueller Zwischenstand: Es läuft der DE-Cleaner von Avira und meldet unter dem Fortschrittsbalken bereits: "Gefundene Schadsoftware: 1"
Was er gefunden hat, teilt er sicher erst mit, wenn er ganz durch ist ...

Bitte erstelle pro Rechner ein egenes Thema, sonst kommen wir durcheinander.


Sehr gut!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



danach:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Habe aswMBR.exe nun ausgeführt. Es ist abgestürzt mit der Meldung

Zitat:

AVAST! Antirootkit funktioniert nicht mehr.

Das Programm wird aufgrund eines Problems nicht richtig ausgeführt. Das programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist.

Der Absturz erfolgte genau in dem Moment, als mein Vater am anderen Rechner den WLAN-Stick zog, um für Gmer.exe die I-net-Verbindung zu kappen. Zufall?

Ein erneuter Versuch endete wieder mit Absturz.

Dann mit AV-Scan = none ausgeführt. Nun erfolgreich.

Zitat:

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-04-10 22:33:49
-----------------------------
22:33:49.651 OS Version: Windows x64 6.1.7601 Service Pack 1
22:33:49.651 Number of processors: 2 586 0x200
22:33:49.651 ComputerName: USER-PC UserName: User
22:33:51.611 Initialize success
22:34:13.567 AVAST engine defs: 13041001
22:34:37.664 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
22:34:37.669 Disk 0 Vendor: ST9500325AS 0001SDM1 Size: 476940MB BusType: 11
22:34:37.904 Disk 0 MBR read successfully
22:34:37.914 Disk 0 MBR scan
22:34:37.924 Disk 0 Windows 7 default MBR code
22:34:37.939 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 15872 MB offset 2048
22:34:37.974 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 100 MB offset 32507904
22:34:38.019 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 460966 MB offset 32712704
22:34:38.154 Disk 0 scanning C:\Windows\system32\drivers
22:34:58.822 Service scanning
22:35:37.260 Modules scanning
22:35:37.280 Disk 0 trace - called modules:
22:35:37.355 ntoskrnl.exe CLASSPNP.SYS disk.sys ataport.SYS PCIIDEX.SYS hal.dll msahci.sys
22:35:37.370 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80076b3060]
22:35:37.385 3 CLASSPNP.SYS[fffff8800193043f] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0xfffffa8007196060]
22:35:37.400 Scan finished successfully
22:39:41.004 Disk 0 MBR has been saved successfully to "C:\Users\User\Desktop\MBR.dat"
22:39:41.019 The log file has been saved successfully to "C:\Users\User\Desktop\aswMBR.txt"

Mache nun mit ESET weiter.

Alles klar.

Habe einen neuen Thread für den zweiten Rechner angelegt:

2. Thread (PC): Telekom Abuse-Team: Ihre Internet-Zugangsnummer als Quelle von Massen-E-Mails identifiziert

Darf ich hier keine Links anlegen? Wird immer umgewandelt in Text hxxp://...

ESET hat nun ziemlich lange gedauert - Scan-Zeit ca 14 Std. Ich musste 2x abbrechen, weil mein Vater das Notebook brauchte.

Also hier das Log (Namen in Datei-Pfaden anonymisiert):

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=4a798930b0b81d45ae444e40e2535672
# engine=13593
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-10 09:53:23
# local_time=2013-04-10 11:53:23 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 8346 1949133 1114 0
# compatibility_mode=5893 16776574 100 94 1949579 117260653 0 0
# scanned=25556
# found=0
# cleaned=0
# scan_time=3365
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=4a798930b0b81d45ae444e40e2535672
# engine=13601
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-12 05:51:52
# local_time=2013-04-12 07:51:52 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 48739 2064242 41500 0
# compatibility_mode=5893 16776574 100 94 2064688 117375762 0 0
# scanned=477403
# found=2
# cleaned=0
# scan_time=40652
sh=AB187FC95B51299E1ABEF846B7F6A598E6392AF7 ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NMW trojan" ac=I fn="C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\4262bac9-47861571"
sh=D63617AF9FA8013B6135C4053242F3DC0B071463 ft=1 fh=c0de1fde1936e0bf vn="multiple threats" ac=I fn="C:\Users\User\Desktop\WB-XXX - NICHT MEHR BENUTZEN\XXX\AppData\Local\Temp\is88410971\Yontoo-C4.exe"
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=4a798930b0b81d45ae444e40e2535672
# engine=13609
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-13 07:24:08
# local_time=2013-04-13 09:24:08 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 52437 2156178 45204 0
# compatibility_mode=5893 16776574 100 94 2156624 117467698 0 0
# scanned=484740
# found=2
# cleaned=0
# scan_time=45532
sh=AB187FC95B51299E1ABEF846B7F6A598E6392AF7 ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NMW trojan" ac=I fn="C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\4262bac9-47861571"
sh=D63617AF9FA8013B6135C4053242F3DC0B071463 ft=1 fh=c0de1fde1936e0bf vn="multiple threats" ac=I fn="C:\Users\User\Desktop\WB-XXX- NICHT MEHR BENUTZEN\XXX\AppData\Local\Temp\is88410971\Yontoo-C4.exe"

Mit SecurityCheck mache ich heute Abend weiter.

Alles klar.

Das ging ja diesmal schnell - Hätte ich auch noch gestern Abend machen können, wenn ich das gewusst hätte :-)

Security Check:

Zitat:

Results of screen317's Security Check version 0.99.61
Windows 7 Service Pack 1 x64 (UAC is disabled!)
Internet Explorer 9
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Java 7 Update 17
Adobe Flash Player 11.6.602.180
Adobe Reader XI
Mozilla Firefox (20.0.1)
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Hast du noch andere Rechner im Netzwerk?

Dieser Rechner ist sauber.


Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

Das hört sich ja gut an - danke!

Ich habe darauf verzichtet, Java zu deaktivieren, weil mein Vater das für Elsteronline braucht.

Hier der Plugin-Check:

Zitat:

PluginCheck

Der PluginCheck hilft die größten Sicherheitslücken beim Surfen im Internet zu schliessen.
Überprüft wird: Browser, Flash, Java und Adobe Reader Version.

Firefox 20.0 ist aktuell

Flash (11,6,602,180) ist aktuell.

Java (1,7,0,17) ist aktuell.

Adobe Reader 11,0,2,0 ist aktuell.

Es gibt noch einen weiteren Rechner im Netzwerk, der mittlerweile aber auch sauber ist. Dafür hatte ich einen neuen Thread erstellt (s. oben), der bereits abgeschlossen ist.

Zitat:

Es gibt noch einen weiteren Rechner im Netzwerk, der mittlerweile aber auch sauber ist. Dafür hatte ich einen neuen Thread erstellt (s. oben), der bereits abgeschlossen ist.

Sehr gut.


Sehr gut!

damit bist Du sauber und entlassen!

adwCleaner entfernen

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Uninstall.
• Bestätige mit Ja.

Tool-Bereinigung
Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall DelFix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
   • Starte deinen Rechner abschließend neu.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Zurücksetzen der Sicherheitszonen

Lasse die Sicherheitszonen wieder zurücksetzen, da diese manipuliert wurden um den Browser für weitere Angriffe zu öffnen.
Gehe dabei so vor: http://www.trojaner-board.de/111805-...ecksetzen.html


Systemwiederherstellungen leeren

Damit der Rechner nicht mit einer infizierten Systemwiederherstellung erneut infiziert werden kann, muessen wir diese leeren. Dazu schalten wir sie einmal aus und dann wieder ein:
Systemwiederherstellung deaktivieren Tutorial fuer Windows XP, Windows Vista, Windows 7
Danach wieder aktivieren.



Lektuere zum abarbeiten:
http://www.trojaner-board.de/90880-d...tallation.html
http://www.trojaner-board.de/105213-...tellungen.html
PluginCheck
http://www.trojaner-board.de/96344-a...-rechners.html
Secunia Online Software Inspector
http://www.trojaner-board.de/71715-k...iendungen.html
http://www.trojaner-board.de/83238-a...sschalten.html
http://www.trojaner-board.de/109844-...ren-seite.html
PC wird immer langsamer - was tun?

Dann bleibt mir noch Besten Dank zu sagen!



Ich bin echt beeindruckt von der Hilfe hier im Forum

wuensche eine virenfreie Zeit