Trojaner-Board - Facebook Passwörterklau. Verdacht gestohlene Browserdaten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Facebook Passwörterklau. Verdacht gestohlene Browserdaten (https://www.trojaner-board.de/205634-facebook-passwoerterklau-verdacht-gestohlene-browserdaten.html)

Code:

# -------------------------------

# Malwarebytes AdwCleaner 8.4.0.0

# -------------------------------

# Build:    08-30-2022

# Database: 2022-10-10.1 (Cloud)

# Support:  https://www.malwarebytes.com/support

#

# -------------------------------

# Mode: Scan

# -------------------------------

# Start:    12-04-2022

# Duration: 00:00:06

# OS:       Windows 10 (Build 19045.2311)

# Scanned:  32091

# Detected: 0
 
 

***** [ Services ] *****
 

No malicious services found.
 

***** [ Folders ] *****
 

No malicious folders found.
 

***** [ Files ] *****
 

No malicious files found.
 

***** [ DLL ] *****
 

No malicious DLLs found.
 

***** [ WMI ] *****
 

No malicious WMI found.
 

***** [ Shortcuts ] *****
 

No malicious shortcuts found.
 

***** [ Tasks ] *****
 

No malicious tasks found.
 

***** [ Registry ] *****
 

No malicious registry entries found.
 

***** [ Chromium (and derivatives) ] *****
 

No malicious Chromium entries found.
 

***** [ Chromium URLs ] *****
 

No malicious Chromium URLs found.
 

***** [ Firefox (and derivatives) ] *****
 

No malicious Firefox entries found.
 

***** [ Firefox URLs ] *****
 

No malicious Firefox URLs found.
 

***** [ Hosts File Entries ] *****
 

No malicious hosts file entries found.
 

***** [ Preinstalled Software ] *****
 

No Preinstalled Software found.
 
 

AdwCleaner[S00].txt - [2406 octets] - [27/11/2022 05:23:55]

AdwCleaner[C00].txt - [2374 octets] - [27/11/2022 05:24:42]

AdwCleaner[S01].txt - [2298 octets] - [27/11/2022 23:28:43]

AdwCleaner[C01].txt - [2378 octets] - [27/11/2022 23:29:15]

AdwCleaner[S02].txt - [1664 octets] - [27/11/2022 23:29:49]

AdwCleaner[C02].txt - [1854 octets] - [27/11/2022 23:30:19]

AdwCleaner[S03].txt - [1786 octets] - [29/11/2022 06:57:42]

AdwCleaner[S04].txt - [1847 octets] - [29/11/2022 11:34:39]

AdwCleaner[S05].txt - [1908 octets] - [29/11/2022 21:57:58]

AdwCleaner[S06].txt - [1969 octets] - [01/12/2022 05:32:36]

AdwCleaner[C06].txt - [2159 octets] - [01/12/2022 05:47:31]

AdwCleaner[S07].txt - [2091 octets] - [01/12/2022 17:11:46]

AdwCleaner[S08].txt - [2152 octets] - [02/12/2022 00:13:01]

AdwCleaner[S09].txt - [2213 octets] - [02/12/2022 03:40:08]

AdwCleaner[S10].txt - [2274 octets] - [02/12/2022 03:43:35]

AdwCleaner[S11].txt - [2335 octets] - [02/12/2022 08:55:22]

AdwCleaner[S12].txt - [2396 octets] - [02/12/2022 12:11:56]

AdwCleaner[S13].txt - [2457 octets] - [02/12/2022 14:55:57]

AdwCleaner[S14].txt - [2518 octets] - [02/12/2022 17:21:44]

AdwCleaner[S15].txt - [2579 octets] - [02/12/2022 17:52:59]

AdwCleaner[S16].txt - [2640 octets] - [03/12/2022 18:26:45]
 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S17].txt ##########

Du hast da binnen einer Woche 20x adwCleaner ausgeführt.
Warum so oft bitte?
Und warum hast du da kein Wort drüber verloren? Was wurde beim ersten Scan gefunden?

Zitat:

Zitat von cosinus (Beitrag 1770198)

Du hast da binnen einer Woche 20x adwCleaner ausgeführt.
Warum so oft bitte?

Ich hatte im September eine Datei einer Arbeitskollegin runtergeladen, die anscheinend infiziert war. (Wusste ich nicht in dem Moment, Arbeitskollegen vertraut man.) Da wurde das erste Mal mein PW von sämtlichen Socialmediakonten gestohlen. Facebook, Instagram.. Da hab ich mir (dumm wie ich bin) auch noch nichts gedacht. Dann wurde sich 4 Wochen Zeit gelassen und es ging von vorne los. Da ich mittlerweile einiges ausprobiert habe, weiss ich dass FB nur Meldungen schickt, sobald man sich von einem neuem Gerät anmelden. Ich habe aber nicht bekommen. Deshalb geh ich davon aus, dass meine Cookies bzw Browserdaten gestohlen wurden. (Dies würde es zumindest erklären.)
AdwCleaner hat das erste Mal 12 Dateien gefunden. Direkt nach dem Passwortklau. Ich hang den Logfile ein. Vielleicht hilft das.

Code:

# -------------------------------

# Malwarebytes AdwCleaner 8.4.0.0

# -------------------------------

# Build:    08-30-2022

# Database: 2022-10-10.1 (Cloud)

# Support:  https://www.malwarebytes.com/support

#

# -------------------------------

# Mode: Clean

# -------------------------------

# Start:    11-27-2022

# Duration: 00:00:01

# OS:       Windows 10 (Build 19045.2251)

# Cleaned:  12

# Failed:   0
 
 

***** [ Services ] *****
 

No malicious services cleaned.
 

***** [ Folders ] *****
 

Deleted       C:\Users\Tatjana - Alexander\AppData\Local\DriverToolkit
 

***** [ Files ] *****
 

Deleted       C:\Windows\restoro.ini
 

***** [ DLL ] *****
 

No malicious DLLs cleaned.
 

***** [ WMI ] *****
 

No malicious WMI cleaned.
 

***** [ Shortcuts ] *****
 

No malicious shortcuts cleaned.
 

***** [ Tasks ] *****
 

No malicious tasks cleaned.
 

***** [ Registry ] *****
 

Deleted       HKCU\Software\Local AppWizard-Generated Applications\Restoro

Deleted       HKCU\Software\Restoro

Deleted       HKLM\Software\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}

Deleted       HKLM\Software\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}

Deleted       HKLM\Software\Classes\Restoro.Engine

Deleted       HKLM\Software\Classes\TypeLib\{C661BE9A-11D8-47DD-A980-6494B09F3AF3}

Deleted       HKLM\Software\Restoro

Deleted       HKLM\Software\Wow6432Node\\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}

Deleted       HKLM\Software\Wow6432Node\\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}

Deleted       HKLM\Software\Wow6432Node\\Classes\TypeLib\{C661BE9A-11D8-47DD-A980-6494B09F3AF3}
 

***** [ Chromium (and derivatives) ] *****
 

No malicious Chromium entries cleaned.
 

***** [ Chromium URLs ] *****
 

No malicious Chromium URLs cleaned.
 

***** [ Firefox (and derivatives) ] *****
 

No malicious Firefox entries cleaned.
 

***** [ Firefox URLs ] *****
 

No malicious Firefox URLs cleaned.
 

***** [ Hosts File Entries ] *****
 

No malicious hosts file entries cleaned.
 

***** [ Preinstalled Software ] *****
 

No Preinstalled Software cleaned.
 
 

*************************
 

[+] Delete Tracing Keys

[+] Reset Winsock
 

*************************
 

AdwCleaner[S00].txt - [2406 octets] - [27/11/2022 05:23:55]
 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Ich dachte halt ich kann es selbst lösen. Ich dachte mein PC ist jetzt clean.
Aber vor ein paar Tagen bekam ich eine Passwortresetanfrage, über ein Konto, das ich mal vor JAHREN erstellt habe. Es macht einem halt Angst. Vorallem weil exessiv versucht wird, Zugang zu meinem Email account zu bekommen. Ausserdem waren in meinem Google sämtliche Passwörter und Bankdaten gespeichert. Sorry dass ich so ein komplizierter Fall bin ;(

Da ist aber nur Junkware gewesen. Das hat nix mit Passwortstehlern zu tun.

Kontrollscans mit MBAM und RK

Poste nach Abschluss der beiden Scans die Logs in CODE-Tags.

Ich bin 3D Content Creator. Ich brauch meinen PC zum Arbeiten. Hacker haben es meines Wissen auf Daten und Reichweite abgesehen. Ich hab 5000 Facebookfreunde, 15t Follower auf Flickr, Twitter etc. Ich muss eine Goldgrube für die sein. Ich will mir einfach nur sicher sein wieder auf meinem PC sensible Daten eingeben zu können ohne dass sie geklaut werden. Ich würde ungern neuinstallieren. Bis ich alle Programme zum Arbeiten wiederhabe, würde eine Ewigkeit dauern.

Zitat:

Zitat von cosinus (Beitrag 1770201)

Da ist aber nur Junkware gewesen. Das hat nix mit Passwortstehlern zu tun.

Die Scans mach ich sofort im Anschluss. Wie zum Teufel konnten die sich dann täglich in meinen Account einloggen, Passwort und Email ändern ohne meine Daten gestohlen zu haben -.- Versteh das nicht. Sogar auf meinen Steam Account wurde mein richtiger Benutzername samt richtigem Passwort eingegeben. Der Login wurde nur Dank 2 Authent Methode verhindert, Ohne richtiges Passwort würde man nicht soweit kommen und auch die Email direkt von Steam sagt dies aus. Bin schockiert -.-

Zitat:

Program : RogueKiller Anti-Malware
Version : 15.6.3.0
x64 : Yes
Program Date : Nov 15 2022
Location : C:\Program Files\RogueKiller\RogueKiller64.exe
Premium : No
Company : Adlice Software
Website : https://www.adlice.com/
Contact : https://adlice.com/contact/
Website : https://adlice.com/download/roguekiller/
Operating System : Windows 10 (10.0.19045) 64-bit
64-bit OS : Yes
Startup : 0
WindowsPE : No
User : Tatjana - Alexander
User is Admin : Yes
Date : 2022/12/04 18:22:37
Type : Removal
Aborted : No
Scan Mode : Standard
Duration : 692
Found items : 1
Total scanned : 123539
Signatures Version : 20221128_091401
Truesight Driver : Yes
Updates Count : 2
Arguments : -minimize

************************* Warnings *************************

************************* Removal *************************
[PUP.Gen1 (Potenziell bösartig)] HKEY_USERS\S-1-5-21-1832599575-990174676-766210627-1001\Software\OCS -- -> Gelöscht
[+] scan_what : 2
[+] vendors : PUP.Gen1
[+] Name : HKEY_USERS\S-1-5-21-1832599575-990174676-766210627-1001\Software\OCS
[+] Type : Registry
[+] file_vtscore : 0
[+] file_vttotal : 0
[+] is_malicious : Yes
[+] detection_level : 3
[+] id : 0
[+] status : 3
[+] status_str : Gelöscht
[+] removed : Yes
[+] status_choice : 2
[+] malpe_score : 0

Hm bekomme Meldung Text ist zu kurz,

Zitat:

Malwarebytes
www.malwarebytes.com

-Protokolldetails-
Scan-Datum: 04.12.22
Scan-Zeit: 19:26
Protokolldatei: 2867a7a0-7401-11ed-b6ea-00d861115538.json

-Softwaredaten-
Version: 4.5.18.226
Komponentenversion: 1.0.1823
Version des Aktualisierungspakets: 1.0.63046
Lizenz: Kostenlos

-Systemdaten-
Betriebssystem: Windows 10 (Build 19045.2311)
CPU: x64
Dateisystem: NTFS
Benutzer: Tatjana-PC\Tatjana - Alexander

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Scan gestartet von: Manuell
Ergebnis: Abgeschlossen
Gescannte Objekte: 292165
Erkannte Bedrohungen: 0
In die Quarantäne verschobene Bedrohungen: 0
Abgelaufene Zeit: 5 Min., 16 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Aktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 0
(keine bösartigen Elemente erkannt)

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 0
(keine bösartigen Elemente erkannt)

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)

WMI: 0
(keine bösartigen Elemente erkannt)

(end)

wieder zu kurz ^^

Und auch da keine Funde.

SecurityCheck
Führe SecurityCheck gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Der Sicherheitscheck war auch in Ordnung.
Ich vermute ich hab das Teil rausgehauen, als ich den Browser komplett weg habe.
Werd es erstmal damit belassen.
Ich danke dir sehr für deine Hilfe!

Dann wären wir durch! :daumenhoc

Wenn Du möchtest, kannst Du hier sagen, ob Du mit mir und meiner Hilfe zufrieden warst...:dankeschoen:und/oder das Forum mit einer kleinen Spende http://www.trojaner-board.de/extra/spende.png unterstützen. :applaus:

Abschließend unbedingt folgende Sicherheitsmaßnahmen lesen und umsetzen:

Anleitung: Cleanup & Maßnahmen zur Absicherung des Rechners

Wir sind froh, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus unseren Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke uns bitte eine Erinnerung inklusive Link zum Thema.

Jeder andere bitte hier klicken und ein eigenes Thema erstellen.