| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rechner surft "selbständig" nicht existierende Seiten an, Mahnschreiben Telekom über Hackingversuche von diesem Rechner ausWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.07.2013, 20:17
| #1 |
 |  Rechner surft "selbständig" nicht existierende Seiten an, Mahnschreiben Telekom über Hackingversuche von diesem Rechner aus Hallo zusammen, Auf einem relativ neuen Rechner mit Win7 32-bit Professional tauchen im Log der Antivirensoftware Trendmicro WFB 8 Adv. Einträge zur Web-Reputation auf: siehe DesktopServerWRS.csv im Archiv Logfiles.zip. Telekom schickte per Post ein Schreiben: Zitat: Wir haben festgestellt, dass über Ihren Internet-Zugang unerwünschte Zugriffe auf fremde Computer erfolgt sind("Hacking"). Eventuell wurden auch Passwörter, Kredikarten-,Bank- und sonstige Daten bereits ausgelesen. Den Hinweis auf Ihren Anschluß und die IP-Adresse haben wir von externen Sicherheitsexperten erhalten, mit denen wir zusammen arbeiten, um unsere Kunden zu schützen. Zitat Ende Diese angeblichen Webseiten lassen sich nicht zu IP-Adressen auflösen (zumindest von mir nicht). Als Erstes hatte ich einen Scan mit Malwarebytes gemacht, der auch ein paar Schädlinge fand. Mbam.Log Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Database version: v2013.07.17.04 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 10.0.9200.16618 jutta :: JUTTA-BUERO [administrator] 17.07.2013 14:00:38 mbam-log-2013-07-17 (14-00-38).txt Scan type: Full scan (C:\|D:\|) Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM Scan options disabled: P2P Objects scanned: 113358 Time elapsed: 17 minute(s), 19 second(s) [aborted] Memory Processes Detected: 1 C:\Users\jutta\kutxoruwinfo.exe (Spyware.Password) -> 4032 -> Delete on reboot. Memory Modules Detected: 0 (No malicious items detected) Registry Keys Detected: 2 HKCR\CLSID\{6ACC469F-58E1-4139-A5D9-22C9C650505B} (Trojan.Zbot) -> Quarantined and deleted successfully. HKCR\Stub.pplication (Trojan.Zbot) -> Quarantined and deleted successfully. Registry Values Detected: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|kutxoruwinfo (Spyware.Password) -> Data: C:\Users\jutta\kutxoruwinfo.exe -> Quarantined and deleted successfully. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{A0018945-2104-CA31-74AA-6B91CA8C2F5B} (Trojan.Zbot.RRE) -> Data: C:\Users\jutta\AppData\Roaming\Araf\isuxdea.exe -> Quarantined and deleted successfully. Registry Data Items Detected: 0 (No malicious items detected) Folders Detected: 0 (No malicious items detected) Files Detected: 2 C:\Users\jutta\kutxoruwinfo.exe (Spyware.Password) -> Delete on reboot. C:\Users\jutta\AppData\Roaming\Araf\isuxdea.exe (Trojan.Zbot.RRE) -> Quarantined and deleted successfully. (end) Malwarebytes Anti-Malware (PRO) 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.07.17.04 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 10.0.9200.16618 jutta :: JUTTA-BUERO [Administrator] Schutz: Aktiviert 17.07.2013 18:08:11 mbam-log-2013-07-17 (18-08-11).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 421882 Laufzeit: 52 Minute(n), 22 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 6 c:\users\jutta\appdata\local\temp\1347322794.exe (Trojan.Zbot.RRE) -> Erfolgreich gelöscht und in Quarantäne gestellt. c:\users\jutta\appdata\local\temp\1347348864.exe (Trojan.Zbot.RRE) -> Erfolgreich gelöscht und in Quarantäne gestellt. c:\users\jutta\appdata\local\temp\tmp19880b10\uses.exe (Trojan.Zbot.RV) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\jutta\AppData\Local\Temp\tmp8a945128\5.exe (Spyware.Password) -> Erfolgreich gelöscht und in Quarantäne gestellt. c:\users\jutta\appdata\local\temp\tmpf2fbfdce\uses.exe (Trojan.Zbot.FV) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\jutta\AppData\Roaming\Esxeboo\yfofpea.exe (Trojan.Zbot.RRE) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Malwarebytes Anti-Malware (PRO) 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.07.17.04 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 10.0.9200.16618 jutta :: JUTTA-BUERO [Administrator] Schutz: Aktiviert 17.07.2013 19:31:36 mbam-log-2013-07-17 (19-31-36).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 420229 Laufzeit: 52 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Defogger wurde ausgeführt. restliche logs im Archiv Logfiles.zip Was kann man tun, um die Problematik zu lösen? Vielen Dank im Voraus Armin_M Geändert von Armin_M (22.07.2013 um 20:19 Uhr) Grund: Typos |
| Themen zu Rechner surft "selbständig" nicht existierende Seiten an, Mahnschreiben Telekom über Hackingversuche von diesem Rechner aus |
| administrator, autostart, computer, dateien, detected, festgestellt, gelöscht, kunde, malwarebytes, microsoft, schädlinge, sicherheitsexperten, spyware.password, system32, telekom, trojan.agent, trojan.zbot, trojan.zbot.fv, trojan.zbot.rre, trojan.zbot.rv |
Baum-Darstellung