Hallo zusammen,

ich melde mich ungern in einem Forum an und erstelle dann sofort einen "HILF MIR" Post. Aber nun bin ich wirklich etwas ratlos und brauche dringend Hilfe.

Mein Packstation Account wurde übernommen, mitlerweile konnte ich ihn wieder unter meine Kontrolle bekommen, allerdings ist mir nun aufgefallen, dass in meinem E-Mail Account ein Filter eingerichtet war um Emails von Paket.de automatisch zu löschen.
Der Eindringling ist vorsichtig vorgegangen um kein Aufsehen zu eregen... und hat dann heimlich alles in die Wege geleitet um Emails abzufangen und Passwörter neu zu setzen.

Ich habe nun alle Passwörter auf erdenklichen Seiten geändert. Nur bleibt die Frage woher er mein Passwort hat! Ich verwende stets über 10 stellige schwierige Passwörter... da liegt die Vermutung nahe, dass hier jemand Keylogger/Trojaner verwendet hat.

Könnt ihr mir Hilfestellung geben?

Ich danke vielmals im Voraus.

Hallo und

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner, sind die mal fündig geworden?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs in CODE-Tags posten!
Relevant sind nur Logs der letzten 7 Tage bzw. seitdem das Problem besteht!



Zudem bitte auch ein Log mit Farbars Tool machen:

Scan mit Farbar's Recovery Scan Tool (FRST)

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Ich lasse eigentlich regelmäßg HiJack This durchlaufen. Viren Scanner ab und an, gefunden habe ich aber nie etwas. Ich muss dazu sagen, dass ich auch ebenso mein Smartphone als Übeltäter im Verdacht habe... dieses habe ich bereits auf Werkszustand zurückgesetzt. Nun möchte ich einfach nochmal sicher gehen, dass alles sauber ist.

Hier meine FRST Logs:

FRST

FRST Logfile:

Addition

Zitat:

Zitat von Waren

Ich lasse eigentlich regelmäßg HiJack This durchlaufen.

Das Tool bringt genau garnix mehr. Schon seit Jahren.
HJT wurde irgendwann Anfang der 2000er Jahre entwickelt, es hat eigentlich schon immer nur sehr oberflächlich gescannt, das hat damals aber gereicht um IE-Hijacker zu töten. Aber spätestens seit Win7 Jahren ist dieses Tool eigentlich fürn Arsch.

Zitat:

Windows 10 Enterprise
Microsoft Office Professional Plus 2010
(@ByELDI) C:\Program Files\KMSpico\Service_KMS.exe

Alter......das sieht schwer nach gecracktem Windows 10 und Office aus!

Hier könnte es noch weitergehen wenn du "nur" ein geklautes Office hättest. Da müsste deinstalliert werden. Aber so wie es aussieht ist auch dein W10 illegal. Oder hast du andere Erklärung dafür, dass du eine Enterprise Edition von W10 hast?! Die gibt es nur für Firmenkunden mit teuren Volumenlizenzverträgen!

Ich bin selbst in einem Softwareunternehmen tätig und verwende diesen PC auch von zu Hause über VPN für Arbeitszwecke.
Auch DirectAccess und dieses Feature wird leider nur von Microsoft mit der Enterprise Version unterstützt.

Das Office wurde soeben deinstalliert.

Zitat:

Microsoft mit der Enterprise Version unterstützt.

Ja. Und? Hast du einen Volumenlizenzvertrag mit M$?

Ich möchte hier nicht allzu viel über meine Arbeit preisgeben. Ich glaube wir kommen hier nicht weiter. Ich danke trotzdem fürs Zeit nehmen.

Mir bleibt ja immer noch die Lösung der neuen Clean Installation.

Die Logs würde ich selbst gerne entfernen, da hier ja auch teilweise private Informationen enthalten sind.

Fall 1 ihr habt KEINEN Volumenlizenzvertrag: dann wäre deine Windows-Installation illegal

Fall 2 ihr habt einen Volumenlizenzvertrag und damit ein lizenzierte Enterprise Windows: dann seid ihr bestimmt keine kleine Firma und werdet doch bestimmt ne eigene IT-Abteilung haben (Support gibt es hier im TB für gewerbliche genutzte Systeme nur in Ausnahmefällen wenn die Firme KEINE eigene IT ha, kannst du alles da nachlesen => http://www.trojaner-board.de/108423-...-anfragen.html )

Davon mal abgesehen sollte man als größere Firma auch ein gescheites Gateway mit VPN-Funktion (zentrale Firewall) verwenden oder nicht?

Ich habe nun meinen PC neu aufgesetzt und dieses mal ein privates Windows Pro 10 installiert.
Ich hoffe dass ich nun die Voraussetzungen erfülle um zukünftig Hilfe zu beanspruchen.

Finde den hier gebotenen Service nämlich wirklich lobenswert und nützlich.

Um vielleicht nochmal kurz auf mein Problem zurückzukommen. Langsam wird man nämlich schon paranoid und checkt stündlich die Login Aktivitäten aller Postfächer.

Hier ist mir aufgefallen dass sich mehrfach eine IP-Adresse mit unbekannten Standort eingeloggt hat. Trotz Passwortänderung etc. Das seltsame ist, dass es sich hierbei um einen private Adresse 10.x.x.x handelt. Wie kann sowas sein?

Außerdem geht es mir jetzt darum auszuschließen, dass ich zusätzliche Schadsoftware auf meinen weiteren Partition habe.

Zitat:

Das seltsame ist, dass es sich hierbei um einen private Adresse 10.x.x.x handelt.

Garnicht. Eine Rechner mit privater Adresse kann nicht mit dem Internet kommunizieren. Da MUSS immer ein GW zwischen sein. Anders ist das technisch auch garnicht möglich, denn private Adressen werden nicht im Internet geroutet.

Leider sprichst du immer nur von "E-Mail-Account" aber was genau dahintersteckt weiß außer dir niemand

Ja deshalb bin ich auch etwas verwirrt, da eine lokale private Adresse ja gar nicht angezeigt werden kann.



Ich spreche immer nur von E-Mail Account?
Jetzt komme nicht mehr ganz mit. Die Auswirkungen zeigen sich nunmal daran, dass jemand ungefugtes Zugriff auf meinen Email Account hat/hatte. Und wie weiter oben schon erwähnt hab, dass eigentlich nur durch Schadsoftware passiert sein kann.
Im speziellen handelt es sich dabei um zwei Email Konten die ich bei AOL und Googlemail habe.

Social Engeneering - ganz sicher nicht
Bruteforce - wohl auch nicht möglich
Auch habe ich auf keine Spam-Mail geklickt um meine Kontodaten auf seriöse weise zu bestätigen.

Das Ganze hat rein garnix mit deinem Rechner zu tun - Aufschluss kann da nur der technische Support deines Mailproviders geben.

Wie gesgat, eigentlich kann ein Rechner mit so einer IP garnicht direkt mit dem Internet kommunizieren. Taucht dieselbe oder eine andere 10er IP auch als "Hacker" in deinem anderen Mailkonto auf?

Aber es geht doch in erster Linie um die Frage, "Wie dieser Jemand meine Passwörter herausgefunden hat".

Ich verwende EMail Clients wie Thunderbird. Ebenso können Trojaner die gespeicherten Passwörter aus Browsern herausziehen.

Das ganze hat doch sehr wohl mit meinem Rechner zu tun.

Nö, solange du garnicht weißt wer hinter die IP-Adresse kannst du nicht einfach als Fakt hinstellen, dass jmd deinen Rechner gehackt hat.

Außerdem wurde meine andere Frage nicht beantwortet.

Zitat:

Das ganze hat doch sehr wohl mit meinem Rechner zu tun.

Quark. Das steht noch garnicht fest. Nur weil die Möglichkeit besteht heißt das nicht, dass dein Rechner involviert ist. In den allermeisten Fällen werden die Konten online gehackt ohne dass deine Rechner irgendwie involviert sind.