Zugang bei Emailproider wg Trojanerverdacht gesperrt und viele Funde mit malewarbytes
 

Hallo zusammen,

Vodafone/Arcor hatten meinen Zugang blockiert, da wohl mit meiner Adresse Massenmails verschickt wurden. Ich solle meinen Rechner prüfen.

Das habe ich nun mit malewarebytes gemacht. Avira premium ist dauerhaft installiert und hat nie angeschlagen. Habe win7 64 bit.

Malewarebytes hat weit über 100 Objekte gefunden (alle beginnen mit pub.). Ich bin geschockt, da ich doch sehr vorsichtig bin. Nach diesem Fund habe ich zunächst das Protokoll gesichert:

Danach habe ich alle Objekte in Quarantäne verschoben und nochmals ein Protokoll gesichert:

Einerseits wurde mir die Löschung bestätigt und ein Neustart empfohlen, andererseits tauchte ein Fenster von Avira auf, dass ein verdächtiger Zugriff auf die Registry erfolgt oder versucht worden wäre.

Habe einen Neustart gemacht. Es erschien wieder kurz das Avira-Fenster bzgl. Registryzugriff. Ein Avirasuchlauf wurde empfohlen. Dieser läuft derzeit und ist bisher ohne Fund.

Neuer Bedrohungssuchlauf mit malewarebytes ist fast fertig und bisher auch ohne Befund. Protokoll kann ich dann auch gerne Posten.

Ich weiß nun überhaupt nicht, wie ich weiter verfahren soll. Lässt sich erkennen, ob die Funde alle "gefährlich" waren und wenn ja, seit wann die auf dem Rechner waren oder was sie verursachen können?

Ich nutze den Rechner für Bankgeschäft, auch beruflich und habe viele wichtigen Zugangsdaten für Loginbereiche im Browser (Firefox) gespeichert.

Jetzt ist auch der Suchlauf nach Neustart fertig, immer noch ein paar Funde mit gelber Meldung.

Jetzt wird eine Aktion verlangt und ich weiß nicht, löschen/Quarantäne oder nicht? (Avira ist noch aktvi)

LG

Hallo Emily

:hallo:

Mein Name ist Timo und ich werde Dir bei deinem Problem behilflich sein.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scans durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf.

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

frst.txt


FRST Logfile:
--- --- ---



Addition.txt


Mach ich das so richtig?

Ja, alles richtig gemacht.

Adware & Co. deinstallieren

• Lade Dir bitte von hier http://deeprybka.trojaner-board.de/b...ninstaller.pngRevo Uninstaller herunter.
• Installiere und starte das Programm.
• Suche im Uninstallerfeld nach den Programmen, die unter:
  http://deeprybka.trojaner-board.de/b.../revo/add1.png
  diesen Zusatz haben:
  http://deeprybka.trojaner-board.de/b...e/revo/att.PNG
• Wähle die Programme nacheinander aus und klicke jedesmal auf Uninstall.
• Wähle anschließend den Modus "Moderat" aus.
  http://deeprybka.trojaner-board.de/b.../uninstall.PNGhttp://deeprybka.trojaner-board.de/b...o/moderat2.PNG
• Reste löschen:
  Klicke auf http://deeprybka.trojaner-board.de/b.../selectall.PNG dann auf http://deeprybka.trojaner-board.de/b...evo/delete.PNG und dann auf http://deeprybka.trojaner-board.de/b...evo/weiter.PNG.

Bitte zusätzlich deinstallieren:

• Adobe Flash Player 11 ActiveX
• Adobe Flash Player 13
• Java 7 Update 25
• Java 7 Update 45
• Java(TM) 6 Update 13 (64-bit)
• Java(TM) 6 Update 38

Solltest Du ein Programm nicht finden oder nicht deinstallieren können, mache bitte mit dem nächsten Schritt weiter:

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Starte noch einmal FRST.

• Ändere keine der Voreinstellungen und drücke auf Scan.
• Wenn der Scan abgeschlossen ist, werden ein neues Logfile FRST.txt erstellt und auf dem Desktop gespeichert.
• Poste den Inhalt dieses Logfiles bitte hier in deinen Thread.

Hallo Timo,
folgendes habe ich bisher gemacht und teils Meldungen erhalten, die mich verunsichern...

1. revo uninstaller

dies entfernt:
Bundled software uninstaller (HKLM-x32\...\bi_uninstaller) (Version: - ) <==== ATTENTION

Der zweite Eintrag den ich entfernen wollte:
YTD Toolbar v9.6 (HKLM-x32\...\{E48A7F58-FA79-4C71-9D95-571AA02C9D7E}) (Version: 9.6 - Spigot, Inc.) <==== ATTENTION

Brachte eine Fehlermeldung, dass eine msi-Datei nicht gefunden werden konnte.

Ich habe dann den YTD Videodownloader deinstalliert und es verschwand auch der Toolbar-Eintrag aus der Liste.

Anschl. kam eine Auflistung von Registry-Einträgen, habe alle markiert und gelöscht. Hoffentlich habe ich da nichts wichtiges mitgelöscht...
Dann wurden noch einzelne übrig gebliebene Dateien angezeigt, ebenfalls alle markiert und gelöscht.

Genau so bin ich mit den Programmen verfahren:
• Adobe Flash Player 11 ActiveX
• Adobe Flash Player 13
• Java 7 Update 25
• Java(TM) 6 Update 38

Über Systemsteuerung deinstalliert habe ich
• Java 7 Update 45 nicht in Liste
• Java(TM) 6 Update 13 (64-bit) nicht in Liste

weil beide nicht im revo angezeigt wurden.

2. Adwcleaner ist durchgelaufen
Bei Ordner und Dateien steht einiges, aber ich weiß nicht, ob das alles weg muss/darf

Hier ist das Protokoll:

Soll ich alles löschen oder nicht?

Und gleich vorweg die nächste Frage: Später soll ich malewarebytes downloaden. Habe ich bereits gestern gemacht, ist da ein neuer download notwendig?

LG und vielen Dank

Hallo.

Ja, wie in der Anleitung geschrieben kannst du alle Funde bei AdwCleaner löschen.

Danach den JRT und dann Malwarebytes, das du natürlich nicht noch einmal herunterladen brauchst. Nur so durchlaufen lassen wie beschrieben.

Protokoll Adwcleaner



Protokoll JRT



Vor Suchlauf mit MBAM habe ich noch den Papierkorb geleert.


Protokoll MBAM


Protokoll frst


FRST Logfile:
--- --- ---

Eset Scan dauert länger:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Eset läuft seit mehr als 3 Stunden, hat bisher 8 Bedrohungen/unerwünschte Dateien gefunden (vieles mit Babylon toolbar) und ist noch nicht zur Hälfte durchgelaufen.

Es kann also noch dauern...

Halte durch :sword2:

Möge die Macht mit mir sein :killpc:

Ich habe gerade ca. 20 Emails mit Mailerdamon bekommen. Der Inhalt sieht nicht aus, wie der übliche Text den ich über den Server bekomme und vor allem habe ich niemanden Jobs angeboten etc :-)

Liegt das jetzt an dem abgeschalteten Avira (wobei der Emailscann scheinbar schon länger nicht mehr funktioniert hat) oder wurde mein Konto gehackt und die Mails tatsächlich von meinem Server verschickt? :schrei:

Hat denn Vodafone komplett den Internetanschluss gesperrt oder nur das Mailkonto eingeschränkt ?

Es ist ein Unterschied ob z.b. nur deine eMail Adresse als Absendeadresse missbraucht wird (dagegen kann mal selbst wenig tun), oder ob der Rechner selbst Spammails versendet, denn dann agiert dieser als Mailserver und versendet direkt eMails.

Das dabei vorhandene eMailkonten vom Rechner als Absender genommen wird, ist nicht unüblich.

Ich muss da wohl etwas trennen:

Telefonanschluss ist bei Vodafon (früher Arcor, wurde dann von Vodafone übernommen) und da existieren noch alte Arcor-Emailadressen. Die Adressen nutze ich eigentlich nicht oder nur wenn ich mir irgendwo registrieren muss, wo ich schon mit der Weitergabe der Adresse rechnen kann. Ich muss mich mit der Emailadresse jedoch einloggen um die Rechnung herunterladen zu können.

Zunächst hat Outlook beim Abruf der Emailadresse ne Fehlermeldung gebracht, dass das Passwort nicht stimmen würde o.ä. Hab ich ignoriert, da ich dort auch keinen nennenswerten Emaileingang erwarte. Outlook ruft bei mir insgesamt 8 Emailadressen ab. Davon zwei auf Stratoservern, die beruflich genutzt werden. Außerdem web.de und gmail.

Ich konnte mich bei Vodafone nicht mehr für die REchnung einloggen und der Kundenservice hat mir lediglich gesagt, dass die Emailadresse als Massenmail genutzt wurde und daher der Zugang gesperrt wurde. Sie schalten mich mit einem neuen Passwort wieder frei, aber ich müsse meinen Rechner prüfen.

Ich weiß, dass ich auch von Outlook aus Emails mit fremden Absender verschicken könnte und es würde einem Laien wohl nicht auffallen. Leider konnte mir die Vodafonmitarbeiterin nicht sagen, ob die Mails direkt von dem Server dort verschickt wurden (dann hätte jemand das Passwort) oder von sonstwo und nur der 100-fach eingehende Mailerdamon Verdacht erweckt hat.

Bei den im Augenblick eingehenden unzustellbaren Nachrichten sieht der Code wirklich handgeschrieben aus. Die Mails gehen auch an die Dienstadresse bei Strato. In den Rückläufern dort steht normalerweise etwas mit rzbone. da weiß ich, dass es Strato ist. Hier stehen Sachen wie:

Received: (qmail 29569 invoked from network); 5 Aug 2014 13:49:52 -0000
Received: from cable190-249-137-16.une.net.co (190.249.137.16)
by smtp04.cidc.telus.com with ESMTP; 5 Aug 2014 13:49:52 -0000

Ah ok, das macht es etwas klarer.

Das sieht nur nach geklauten Zugangsdaten fürs Mailkonto aus, keine Übernahme des Rechners. So stellt sich das Log bisher auch nicht dar. Warten wir mal ESET ab und dann gehts weiter.

Jahre später....

Protokoll Eset


Protokoll securitycheck

Danach habe ich die Firewall wieder aktiviert und auch den avira-scanner soweit noch möglich (ohne Emailscann)