Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Eventuelle Keyloggerinfektion (https://www.trojaner-board.de/117983-eventuelle-keyloggerinfektion.html)

xenolf 25.06.2012 23:26
Eventuelle Keyloggerinfektion
 
Guten Abend!

Mein Problem ist das folgende:
Gestern Nacht wurde einer meiner E-Mail Accounts kompromittiert und es wurden zahlreiche Spam-Mails über meine Adresse verschickt.
Nun liegt für mich die Vermutung nahe das irgendwas auf meinem PC gelandet ist was da nicht hingehört.

Ich habe bisher einen Malwarebytes scan gemacht. Hier das Logfile:
Code:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Database version: v2012.06.25.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421

25.06.2012 22:26:17
mbam-log-2012-06-25 (22-26-17).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 793804
Time elapsed: 1 hour(s), 13 minute(s), 56 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 1
C:\Users\Stryke\Desktop\HDEV\snd-reversingwithlena-tutorials\snd-reversingwithlena-tutorial15.tutorial\files\reversemenags-patcher.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

(end)
Der Scan sieht ja eigentlich recht gut aus, dennoch möchte ich sicher sein können das ich mir nichts eingefangen habe.

Könnte mir da jemand eine Hilfestellung geben?
Vielen Dank im Voraus!

cosinus 29.06.2012 15:29
Wurde das Passwort vom Mailkonto geändert?
Wenn nein: Bitte umgehend jetzt machen!

Wenn ja: Hattest du ein zu einfaches Passwort? Beschreib mal wie das Passwort vorher war, also Länge und Zeichensatz.
Ein schwaches Passwort besteht zB nur aus kleinen Buchstaben oder nur aus Zahlen und ist kürzer als 8 Stellen.

xenolf 29.06.2012 15:35
Hallo, danke fuer die Antwort.

Ja ich habe das Passwort sofort nach bekanntwerden des Problems geaendert.
Es ist ein Hotmail Account und das Passwort hatte 8 Zeichen mit einem a-z A-Z 0-9 Zeichensatz.

lg
xen

cosinus 29.06.2012 15:36
Hörte das spammen denn auf nach der Passwortänderung?

xenolf 29.06.2012 15:39
Das spammen wurde von Microsoft abgestellt weil sie mein KOnto wegen dem Spam gesperrt haben :D Aber nach der aenderung ist kein neuerlicher spam aufgetreten.

cosinus 29.06.2012 15:40
Ok, das deutet darauf hin, dass dein Passwort nicht durch ein Keylogger abgefischt wurde bzw. jetzt kein Keylogger mehr aktiv ist :)

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Haken bei Yes, i accept the Terms of Use.
  • Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
  • http://img707.imageshack.us/img707/687/starteg.jpg drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke Finish.
  • Browser schließen.
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Code:
"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Code:
"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
Poste nun den Inhalt der log.txt.

xenolf 29.06.2012 20:33
Hier das ESET log:
Code:
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=57c44c0190fbd0409ddde9958d3e7b77
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-29 06:48:36
# local_time=2012-06-29 08:48:36 (+0100, W. Europe Daylight Time)
# country="Austria"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=4096 16777215 100 0 24277163 24277163 0 0
# compatibility_mode=5893 16776574 100 94 6044586 92613567 0 0
# compatibility_mode=8192 67108863 100 0 258579 258579 0 0
# scanned=521676
# found=1
# cleaned=0
# scan_time=11999
D:\Downloads\HSS-1.45-install-ddwrt-112-conduit.zip        a variant of Win32/HotSpotShield application (unable to clean)        00000000000000000000000000000000        I

cosinus 01.07.2012 14:35
Hm, ESET hat was gegen HotSpotShield

Zitat:
HSS-1.45-install-ddwrt-112-conduit.zip
ddwrt ist eigentlich eine Router-Firmware, ich versteh gerade so auf Anhieb nicht, was das mit HotSpotShiel zu tun haben könnte und warum das mit diesem conduit-Müll gespickt ist

xenolf 01.07.2012 14:44
Die Datei ist wirklich von DD-WRT (DD-WRT Privacy | www.dd-wrt.com)
Hatte ich mal runtergeladen aber nie verwendet :)

cosinus 01.07.2012 16:07
Wie gesagt, ESET kann hysterisch sein :D
Wenn keine Probleme mehr nach der Passwortänderung da sind, sollte es auch erstmal gut sind finde ich :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131