| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Spam-Versand unter meinem Namen - aber nicht über mein Account!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.08.2015, 13:48
| #1 |
 |  Spam-Versand unter meinem Namen - aber nicht über mein Account! Hallo wie schon einen Thread weiter habe ich seid Samstag das gleiche Problem. unter meiner Mail werden Spam Mails versand an Leute aus meinem Thunderbird Adressbuch. Die Mails werden Verschickt unter meiner Mail Adresse aber als Absendername immer diverse andere aus meinem Adressbuch. Versand werden die Mails allerdings nicht über mein Mailprogramm und auch nicht über den Mailserver von United Domains. Alles schon abgeklärt. Also hat ein Böses Programm meine Mails ausgelesen und Arbeitet nun per fake Email Adresse unter meinem Namen. Ich habe Eset Online Scan gemacht Code:
ATTFilter C:\Users\test\AppData\Roaming\Windows Net Data\net.exe Win32/Adware.Synatix Anwendung Gesäubert durch Löschen - in Quarantäne kopiert
C:\Users\test\AppData\Roaming\Windows Net Data\uninstaller.exe Win32/Adware.Synatix Anwendung Gesäubert durch Löschen - in Quarantäne kopiert
C:\Windows\System32\roboot64.exe Variante von Win64/Systweak.A evtl. unerwünschte Anwendung Gesäubert durch Löschen - in Quarantäne kopiert
C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Temp\nsf7792.tmp\Starter.exe Variante von Win32/Toolbar.SearchSuite.M evtl. unerwünschte Anwendung Gesäubert durch Löschen - in Quarantäne kopiert
C:\Windows\Temp\2c2a12b6\MoviesToolbarSetup_Somoto.exe Variante von Win32/Toolbar.SearchSuite.AA.gen evtl. unerwünschte Anwendung Gesäubert durch Löschen - in Quarantäne kopiert
C:\Windows\Temp\a53a230d\MoviesToolbarSetup_Somoto.exe Variante von Win32/Toolbar.SearchSuite.AA.gen evtl. unerwünschte Anwendung Gesäubert durch Löschen - in Quarantäne kopiert
Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlaufdatum: 24.08.2015 Suchlaufzeit: 14:10 Protokolldatei: MBAMsuchlauf.txt Administrator: Ja Version: 2.1.8.1057 Malware-Datenbank: v2015.08.24.03 Rootkit-Datenbank: v2015.08.16.01 Lizenz: Kostenlose Version Malware-Schutz: Deaktiviert Schutz vor bösartigen Websites: Deaktiviert Selbstschutz: Deaktiviert Betriebssystem: Windows 7 Service Pack 1 CPU: x64 Dateisystem: NTFS Benutzer: test Suchlauftyp: Bedrohungssuchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 373069 Abgelaufene Zeit: 27 Min., 59 Sek. Speicher: Aktiviert Start: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristik: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (keine bösartigen Elemente erkannt) Module: 0 (keine bösartigen Elemente erkannt) Registrierungsschlüssel: 7 PUP.Optional.Iminent.A, HKLM\SOFTWARE\CLASSES\APPID\{01994268-3C10-4044-A1EA-7A9C1B739A11}, In Quarantäne, [f4afad5ff9922214f6437a5e1be7ab55], PUP.Optional.Iminent.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\APPID\{01994268-3C10-4044-A1EA-7A9C1B739A11}, In Quarantäne, [f4afad5ff9922214f6437a5e1be7ab55], PUP.Optional.Iminent.A, HKLM\SOFTWARE\CLASSES\WOW6432NODE\APPID\{01994268-3C10-4044-A1EA-7A9C1B739A11}, In Quarantäne, [f4afad5ff9922214f6437a5e1be7ab55], PUP.Optional.Boost.A, HKU\S-1-5-21-3444370454-666603558-2448645301-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8DE6FC60-E023-4AD7-A3B7-591E1460E7F7}, In Quarantäne, [247f7993d0bbe3534c67e4f228da42be], PUP.Optional.AskAPN.Gen, HKU\S-1-5-21-3444370454-666603558-2448645301-1000\SOFTWARE\APN DTX, In Quarantäne, [851edf2d0d7ed4627c97189a70944eb2], PUP.Optional.ClicUp.A, HKU\S-1-5-21-3444370454-666603558-2448645301-1000\SOFTWARE\clicup, In Quarantäne, [059e29e36625dd5955a864cd19ea1de3], PUP.Optional.OutBrowse.A, HKU\S-1-5-21-3444370454-666603558-2448645301-1000\SOFTWARE\OB, In Quarantäne, [277c16f67d0e5cdac626585eb74d4ab6], Registrierungswerte: 6 PUP.Optional.OutBrowse.A, HKU\S-1-5-21-3444370454-666603558-2448645301-1000\SOFTWARE\OB|monitype5, 8/16/14 7:50:10, In Quarantäne, [277c16f67d0e5cdac626585eb74d4ab6] PUP.Optional.OutBrowse.A, HKU\S-1-5-21-3444370454-666603558-2448645301-1000\SOFTWARE\OB|monitype15, 8/16/14 7:50:10, In Quarantäne, [efb40a023f4c9e98d01c1e98d3319d63] PUP.Optional.OutBrowse.A, HKU\S-1-5-21-3444370454-666603558-2448645301-1000\SOFTWARE\OB|monitype12, 8/16/14 7:50:26, In Quarantäne, [386b68a4fb90bb7b06e69a1cec18669a] PUP.Optional.OutBrowse.A, HKU\S-1-5-21-3444370454-666603558-2448645301-1000\SOFTWARE\OB|monitype6, 8/16/14 7:51:19, In Quarantäne, [0a99d537cac17bbb20ccab0baf550cf4] PUP.Optional.OutBrowse.A, HKU\S-1-5-21-3444370454-666603558-2448645301-1000\SOFTWARE\OB|monitype17, 8/16/14 7:51:48, In Quarantäne, [8e159b71800b70c6a4485a5cb15324dc] PUP.Optional.OutBrowse.A, HKU\S-1-5-21-3444370454-666603558-2448645301-1000\SOFTWARE\OB|monitype1, 8/16/14 7:52:6, In Quarantäne, [f2b14cc0d7b485b1eb01f8be3bc9768a] Registrierungsdaten: 0 (keine bösartigen Elemente erkannt) Ordner: 1 PUP.Optional.SmartBar.A, C:\Users\test\AppData\LocalLow\Smartbar, In Quarantäne, [dfc4fe0ec8c3ec4ae7e850b8e61dd22e], Dateien: 5 PUP.Optional.MyPCBackup.A, C:\Users\test\AppData\Local\Temp\BackupSetup.exe, In Quarantäne, [445fa16b4c3f48ee0cf59eac9170bd43], PUP.Optional.SmartBar.A, C:\Users\test\AppData\LocalLow\Smartbar\UserInfo.config, In Quarantäne, [dfc4fe0ec8c3ec4ae7e850b8e61dd22e], PUP.Optional.Ask.A, C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\Ask.xml, In Quarantäne, [3f646f9d8506e353812e4c432dd841bf], PUP.Optional.SnapDo.A, C:\Users\test\AppData\Roaming\Mozilla\Firefox\Profiles\jboa004q.default\prefs.js, Gut: (), Schlecht: (user_pref("browser.newtab.url", "hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnWLniD5Hi5TtMwpB9a8S8zUk_vdYXLuYZnXX5RG3asbBzn92Z9GSeT5U6TRweD0LJrOFtyQqHX7N683rge-or64YmDpW9un3CYQViLC2btCUhh20EyCVmgPQ6R_yg_aD5Z4JbTUzYJWi80iSOobQ_h8FdA,,");), Ersetzt,[554ec14b4249a690228395fd3dc84cb4] PUP.Optional.SnapDo.A, C:\Users\test\AppData\Roaming\Mozilla\Firefox\Profiles\jboa004q.default\prefs.js, Gut: (), Schlecht: (user_pref("keyword.URL", "hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3ZQQWnWLniD5Hi5TtMwpB9a8S8zUk_vdYXLuYZnXX5RG3asbBzn92Z9GSeT5U6TRweD0LJrOFtyQqHX7N683rge-or64YmDpcHVA9pOVjkZR5AfR-Nd-HSTmyBitcRCNctWNDNmOCB0qJA-fNcYcDOcoUZrTU0w,,&q=");), Ersetzt,[653ed834d3b825118e18266cb0551ae6] Physische Sektoren: 0 (keine bösartigen Elemente erkannt) (end) Hat jemand noch Ideen was ich noch machen sollte um ganz sicher zu gehen das der PC wieder sauber ist. EDIT: das hat mir Emisoft noch ausgeworfen. Code:
ATTFilter Emsisoft Anti-Malware - Version 10.0.0.5641
Letztes Update: 24.08.2015 14:52:27
Benutzerkonto:
Scaneinstellungen:
Scantyp: Malware-Scan
Objekte: Rootkits, Speicher, Traces, Dateien
Erkenne PUPs: An
Archive scannen: Aus
ADS-Scan: An
Dateierweiterungen: Aus
Advanced Caching: An
Direct Disk Access: Aus
Scan Beginn: 24.08.2015 14:53:20
Key: HKEY_USERS\S-1-5-21-3444370454-666603558-2448645301
-1000\SOFTWARE\APPDATALOW\SOFTWARE\UNITY\WEBPLAYER
Application.Toolbar (A)
C:\Program Files (x86)\Intelore\
Application.Win32.PassRecover (A)
C:\Users\test\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\RAR Password Recovery\
Application.Win32.PassRecover (A)
C:\ProgramData\browser manager Application.AppInstall
(A)
C:\ProgramData\browserprotect Application.AppInstall
(A)
Key: HKEY_USERS\S-1-5-21-3444370454-666603558-2448645301
-1000\SOFTWARE\INTELORE\RAR PASSWORD RECOVERY
Application.Win32.PassRecover (A)
Key: HKEY_USERS\S-1-5-21-3444370454-666603558-2448645301
-1001\SOFTWARE\INTELORE\RAR PASSWORD RECOVERY
Application.Win32.PassRecover (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT
\WINDOWS\CURRENTVERSION\UNINSTALL\INTELORE - RAR PASSWORD
RECOVERY Application.Win32.PassRecover (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\SDP
Application.Win32.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\SDP
Application.Win32.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT
\WINDOWS\CURRENTVERSION\UNINSTALL\BI_UNINSTALLER
Application.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT
\WINDOWS\CURRENTVERSION\UNINSTALL\SEARCHTHEWEBARP
Application.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE
\INTERFACE\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Application.AdUpd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE
\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Application.AdUpd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE
\INTERFACE\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Application.AppInst (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE
\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Application.AppInst (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB
\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
Application.AdUpd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB
\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
Application.AdUpd (A)
Gescannt 77273
Gefunden 18
Scan Ende: 24.08.2015 14:55:29
Scanzeit: 0:02:09
Key: HKEY_USERS\S-1-5-21-3444370454-666603558-2448645301
-1000\SOFTWARE\APPDATALOW\SOFTWARE\UNITY\WEBPLAYER
Quarantined: Application.Toolbar (A)
C:\Program Files (x86)\Intelore\ Quarantined:
Application.Win32.PassRecover (A)
C:\Users\test\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\RAR Password Recovery\ Quarantined:
Application.Win32.PassRecover (A)
C:\ProgramData\browser manager Quarantined:
Application.AppInstall (A)
C:\ProgramData\browserprotect Quarantined:
Application.AppInstall (A)
Key: HKEY_USERS\S-1-5-21-3444370454-666603558-2448645301
-1000\SOFTWARE\INTELORE\RAR PASSWORD RECOVERY
Quarantined: Application.Win32.PassRecover (A)
Key: HKEY_USERS\S-1-5-21-3444370454-666603558-2448645301
-1001\SOFTWARE\INTELORE\RAR PASSWORD RECOVERY
Quarantined: Application.Win32.PassRecover (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT
\WINDOWS\CURRENTVERSION\UNINSTALL\INTELORE - RAR PASSWORD
RECOVERY Quarantined:
Application.Win32.PassRecover (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\SDP
Quarantined: Application.Win32.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT
\WINDOWS\CURRENTVERSION\UNINSTALL\BI_UNINSTALLER
Quarantined: Application.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432NODE\MICROSOFT
\WINDOWS\CURRENTVERSION\UNINSTALL\SEARCHTHEWEBARP
Quarantined: Application.InstallAd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE
\INTERFACE\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Quarantined: Application.AdUpd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE
\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} Quarantined:
Application.AdUpd (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\WOW6432NODE
\INTERFACE\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Quarantined: Application.AppInst (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE
\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} Quarantined:
Application.AppInst (A)
Key: HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB
\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} Quarantined:
Application.AdUpd (A)
Quarantined: 16
Geändert von Greyworld (24.08.2015 um 13:57 Uhr) |
| Themen zu Spam-Versand unter meinem Namen - aber nicht über mein Account! |
| appdata, arbeitet, browser, code, diverse, email, erkannt, fake, firefox, löschen, mail, malwarebytes, microsoft, mozilla, namen, online, passwort, roaming, scan, software, spam, system, system32, websites, windows |
Baum-Darstellung