Geklaute Kreditkarten Daten
 

Hallo

Zu meiner Situation und daraus folgenden Fragen ist folgendes zu sagen.

Mitte Dezember letztes Jahres habe ich gemerkt, dass meine Kreditkarte Zahlungen aufweist, die nicht von mir sind. Ich habe sie dann sperren lassen. Kurz darauf wurden die Beträge wieder gutgeschrieben. Soweit so gut.

Als Grund könnte ich mir vorstellen, da ich bei Adobe Kunde bin, der die kostenpflichtige Creative Cloud benutzt (PS CC & Co) und wie viele ja wissen, wurden diese vor kurzer Zeit gehackt. Dabei wurden ja Kundendaten geklaut. Ich selber wurde von Adobe auch angeschrieben.

Als zweiten Grund könnte ich mir auch vorstellen, als ich das Datum der ersten Fremdbuchung kontrollierte, dass die Ursache daran liegt könnte, dass ich an diesem Tag bei Origin (Publisher PC Games) einen Kauf über die Kreditkarte tätigte.

Auf dem PC ist ein Virenscanner installiert (Norton Internet Security). Ein Fullscan hat ausser Tracking Cookies nicht angezeigt. Auch der Trojan Remover zeigt nach dem Scan an, dass alles sauber ist.
Auch ist noch eine HW Firewall (Zyxel USG20) im Einsatz.

Anhand eines Betrages hier im Forum habe ich dann noch folgende Aktivitäten unternommen:

- Scan mit gmer
- Scan mit aswMBR
- Scan mit Emisoft AntiMalware
- Scan mit MBAR
- Scan mit OTL
- Scan mit TDSSKiller

Das einzige Tool das angeschlagen hat ist MBAR mit folgenden zwei Einträgen:

Infected: HKLM\SOFTWARE\CLASSES\wr --> [Malware.Trace]
Infected: HKLM\SOFTWARE\WOW6432NODE\CLASSES\wr --> [Malware.Trace]

Nach dem Cleanen und nochmaligem Scan fand das Tool dann nichts mehr. Alle anderen Tools haben nichts gefunden.

Eine Kontrolle mit dem Security Task Manager und Autorunshat nichts Verdächtiges angezeigt.
Was mich ein bisschen stutzig macht, sind gewisse Einträge, die mir das Tool 'CurrPort' anzeigt. Die sehen in etwas folgendermassen aus:

==================================================
Process Name : Unknown
Process ID : 0
Protocol : TCP
Local Port : 49436
Local Port Name :
Local Address : [meine IP Adresse vom PC]
Remote Port : 443
Remote Port Name : https
Remote Address : 23.21.78.148
Remote Host Name : ec2-23-21-78-148.compute-1.amazonaws.com
State : Time Wait
Process Path :
Product Name :
File Description :
File Version :
Company :
Process Created On: N/A
User Name :
Process Services :
Process Attributes:
Added On : 14.01.2014 18:24:26
Module Filename :
Remote IP Country :
Window Title :
==================================================

==================================================
Process Name : Unknown
Process ID : 0
Protocol : TCP
Local Port : 49416
Local Port Name :
Local Address : [meine IP Adresse vom PC]
Remote Port : 443
Remote Port Name : https
Remote Address : 66.117.23.107
Remote Host Name :
State : Time Wait
Process Path :
Product Name :
File Description :
File Version :
Company :
Process Created On: N/A
User Name :
Process Services :
Process Attributes:
Added On : 14.01.2014 18:24:26
Module Filename :
Remote IP Country :
Window Title :
==================================================

==================================================
Process Name : Unknown
Process ID : 0
Protocol : TCP
Local Port : 49349
Local Port Name :
Local Address : [meine IP Adresse vom PC]
Remote Port : 443
Remote Port Name : https
Remote Address : 173.194.40.30
Remote Host Name : mil02s06-in-f30.1e100.net
State : Time Wait
Process Path :
Product Name :
File Description :
File Version :
Company :
Process Created On: N/A
User Name :
Process Services :
Process Attributes:
Added On : 14.01.2014 18:24:26
Module Filename :
Remote IP Country :
Window Title :
==================================================

Bei den Einträgen mit beim Punkt 'Remote Host Name', wo amazon... drin steht, ist teilweise beim Eintrag 'Process Name' ersichtlich, dass es von Adobe kommt oder mit Adobe zu tun hat.
Kann es sein, dass das Cookies sind?

Es ist mir bewusst, das einige Tools, wie natürlich der Virenscanner, Logitech, Adobe, Google, Office, Windows etc. regelmässig die Verbindung nach Hause suchen, aber bei gewissen Einträgen bin ich irgendwie stutzig, da ich sie nicht kenne, auch wenn sie berechtigt sind.

Ich bin der einzige der die Kreditkarte benutzt, habe nie auf komische E-Mails reagiert, die auffordern solche Daten zu Kontrollzwecken einzugeben und habe auch keine unbekannte Anhänge geöffnet.
Ich schaue auch immer, ob Seiten, bei denen man die KK Daten eingeben muss, die Seite verschlüsselt wird und das Zertifikat gültig ist.

Jetzt habe ich natürlich eine neue Kreditkarte mit einer neuen Nummer, kontrolliere jeden Tag mehrmals online meinen Stand der Kreditkarte, habe aber natürlich immer noch ein flaues Gefühl im Magen.

Kann mir evtl. jemand sagen, was für Einträge das sind, die mir 'CurrPort' teilweise anzeigt. Oder sind allenfalls die beiden Einträge vom Scan mit MBAR schuld daran?

Bin kurz vor dem Entscheid, den PC neu zu installieren, aber wenn es sich verhindern lässt, würde ich es gerne.

Vielen Dank für Eure Hilfe.

Gruss RexCH

Zu den Einträgen kann ich so nichts sagen, aber das Logfile von Gmer würde ich gern sehen, ebenso das:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo

Danke für die rasche Antwort.

Hier mal das Log vom GMER:

Und hier vom FRST:

[CODE]
FRST Logfile:
FRST Logfile:
--- --- ---

--- --- ---

--- --- ---

--- --- ---

--- --- ---


Gruss RexCH

Alles gut :)

So, habe jetzt den PC mal neu aufgesetzt. Sicher ist sicher.

Jedenfalls danke für Eure Hilfe.

Gruss RexCH

Gern Geschehen :)