Hallo Zusammen,
vielen Dank, dass es freiwillige Helfer hier im trojaner-board gibt.. Auf meinem Rechner befindet sich laut Avast ein Virus und mein E-Mail-Konto wurde gehackt. Über meinen Rechner und mein Surfverhalten:
Ich nutze Windows 7 Service Pack 1 x86 NTFS.
Avast! Free.
Malwarebytes.
Panda USB Vaccine.
Sandboxie.
Firefox 13.0.1, surfe über Sandboxie und nutze die Addons, ausser Adblock Plus, NoScript und GlassMyFox, nur in der Sandbox.
Die Host-Datei ist leer.
Kein Proxy.
SEHOP aktiviert (DisableExceptionChainValidation = 0).
DEP (Data Execution Prevention) ohne Ausnahme aktiviert.
Autorun deaktivert.
Eingeschränkter Nutzer: Das Adminkonto nutze ich nur, wenn ich Windows-Updates (eigentlich auf automatisch gestellt, jedoch überprüfe ich zuvor, welche der optionalen ich brauche) oder Malwarebytes aktualisiere bzw. beim installieren neuer Programme.
Avast! fand bei der Vollständigen Überprüfung einen Virus.
Mit Boot-Scan/Startzeit-Überprüfung von Avast! wurde nichts gefunden.
Die Vollständige Überprüfung möchte ich ungerne hochladen, da sie sehr viele persönliche Daten erhält. 27.764 Seiten in Word.
Avast fand folgendes:
Code:
*
* avast! Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Prüfungsname: Vollständige Überprüfung
* Start: Dienstag, 26. Juni 2012 00:00:14
* VPS: 120625-0, 25.06.2012
*
PID 0 [+] ist OK
PID 4 [+] ist OK
C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$R1LWCGO.rar|>283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\FS_2011.mdf [E] Archiv ist kennwortgeschützt. (42056)
Status: Fehler: Archiv ist kennwortgeschützt (42056)
Aktion: keine
C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RFMU3CH.rar|>283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\TEL.pdf [E] Archiv ist kennwortgeschützt. (42056)
Status: Fehler: Archiv ist kennwortgeschützt (42056)
Aktion: keine
C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RFMU3CH.rar|>283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\FS_2011.mds [E] Archiv ist kennwortgeschützt. (42056)
Status: Fehler: Archiv ist kennwortgeschützt (42056)
Aktion: keine
C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RQJWCEN.exe|>[UPX] [L] Win32:InstallCore-AM [PUP] (0)
C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RQJWCEN.exe:Zone.Identifier [+] ist OK
Schweregrad: Niedrig
Status: PUP: Win32:InstallCore-AM[PUP]
Aktion: In Container verschoben
Malwarebytes fand nach einer Vollständigen Prüfung auf meinem Rechner nichts.
Code:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.06.19.04
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
NonAdmin :: USER [limitiert]
26.06.2012 10:37:33
mbam-log-2012-06-26 (10-37-33).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 264286
Laufzeit: 50 Minute(n), 28 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Mein E-Mail-Konto bei Hotmail wurde gehackt.
Meine bei Firefox benutzten Erweiterungen:
| Name | Version | Aktiviert | ID |
| Adblock Plus | 2.0.3 | true | {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} |
| Bloody Vikings! | 0.5.4 | true | bloodyvikings@ffs.bplaced.net |
| Bookmark Autohider | 0.1.7.9 | true | bookmarkhider@exi.name |
| Firebug | 1.9.2 | true | firebug@software.joehewitt.com |
| FoxyProxy Standard | 3.6.2 | true | foxyproxy@eric.h.jung |
| GlassMyFox | 1.1.1 | true | GlassMyFox@ArisT2_Noia4dev |
| iMacros for Firefox | 7.4.0.8 | true | {81BF1D23-5F17-408D-AC6B-BD6DF7CAF670} |
| NoScript | 2.4.6 | true | {73a6fe31-595d-460b-a920-fcc0f8843232} |
| Turn Off the Lights | 2.0.0.100 | true | stefanvandamme@stefanvd.net |
| anonymoX | 0.9.9 | true | client@anonymox.net |
| avast! WebRep | 7.0.1426 | false | wrc@avast.com |
Ich nutze Hotmail ausschließlich im Browser.
Jetzt habe ich zwar den Zugriff drauf wieder und das Kennwort auch geändert. Aber wie mein E-Mail-Konto gehackt wurde, kann ich mir nicht erklären. Mit meinem E-Mail-Konto bin ich nirgendswo registriert und gebe sie außer Freunden niemanden weiter. Ausschließlich lese und schreibe ich dort private E-Mails von Freunden. Junk-Mails kommen nie welche an, somit bekam ich noch nie eine Hotmail oder mir verdächtige E-Mail.
Von meinem E-Mail-Konto aus wurde Spam verschickt, welcher einen Link erhielt. Wer diesen Link angeklickt hat, wird dessen Konto ebenfalls übernommen und von demjenigen aus werden erneut Spam-Mails versendet.
Ein Beispiel der E-Mails:
Code:
X-Originating-IP: [124.103.87.16]
[x]
Subject:
Date: Sun, 17 Jun 2012 12:58:45 +0200
Importance: Normal
MIME-Version: 1.0
--_ad61dc4a-59b5-40c0-a497-598f0de00cf0_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
hxxp://www.republicansagainstdeal.com/wp-content/themes/smells-like-facebo=
ok/googles.html?eefv=3Dogbh.jdg&himoj=3Dte.ww&sgb=3Duwiy =
--_ad61dc4a-59b5-40c0-a497-598f0de00cf0_
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<html>
<head>
<style><!--
.hmmessage P
{
margin:0px=3B
padding:0px
}
body.hmmessage
{
font-size: 10pt=3B
font-family:Tahoma
}
--></style></head>
<body class=3D'hmmessage'><div dir=3D'ltr'>
<font style=3D"font-size: 10pt=3B" size=3D"2" face=3D"Tahoma "><a href=3D"h=
ttp://www.republicansagainstdeal.com/wp-content/themes/smells-like-facebook=
/googles.html?eefv=3Dogbh.jdg&himoj=3Dte.ww&sgb=3Duwiy"> hxxp://www.republi=
cansagainstdeal.com/wp-content/themes/smells-like-facebook/googles.html?eef=
v=3Dogbh.jdg&himoj=3Dte.ww&sgb=3Duwiy</a></font> </div></body>
</html>=
--_ad61dc4a-59b5-40c0-a497-598f0de00cf0_--
Andere URLs waren u.a. :
Code:
BITTE NICHT ANKLICKEN!
hxxp://www.redteamproduction.com/wp-content/themes/vibrantcms/layouts/goog=
les.html?bfc=3Dvbb.mig&rth=3Dmkv.sus&ghb=3Dozau
hxxp://www.nmgphotography.com/nmgblog/wp-content/themes/prophoto3/googles.=
html?sdm=3Dvbb.sxfs&fgw=3Dmgh.hkm&shc=3Dxksz
Whois-Abfrage:
Code:
Results for 124.103.87.16 :
% [whois.apnic.net node-2]
% Whois data copyright terms hxxp://www.apnic.net/db/dbcopyright.html
inetnum: 124.96.0.0 - 124.103.255.255
netname: OCN
descr: NTT Communications Corporation
descr: 1-6 Uchisaiwai-cho 1-chome Chiyoda-ku, Tokyo 100-8019 Japan
country: JP
admin-c: JNIC1-AP
tech-c: JNIC1-AP
status: ALLOCATED PORTABLE
remarks: Email address for spam or abuse complaints :abuse@ocn.ad.jp
mnt-by: MAINT-JPNIC
mnt-lower: MAINT-JPNIC
changed: hm-changed@apnic.net 20060201
source: APNIC
role: Japan Network Information Center
address: Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address: Chiyoda-ku, Tokyo 101-0047, Japan
country: JP
phone: +81-3-5297-2311
fax-no: +81-3-5297-2312
e-mail: hostmaster@nic.ad.jp
admin-c: JI13-AP
tech-c: JE53-AP
nic-hdl: JNIC1-AP
mnt-by: MAINT-JPNIC
changed: hm-changed@apnic.net 20041222
changed: hm-changed@apnic.net 20050324
changed: ip-apnic@nic.ad.jp 20051027
source: APNIC
inetnum: 124.103.0.0 - 124.103.127.255
netname: OCN
descr: Open Computer Network
country: JP
admin-c: AY1361JP
tech-c: KK551JP
tech-c: TT10660JP
tech-c: TT15086JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC WHOIS Gateway at
remarks: hxxp://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks: whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks: defaults to Japanese output, use the /e switch for English
remarks: output)
changed: apnic-ftp@nic.ad.jp 20060413
changed: apnic-ftp@nic.ad.jp 20080630
source: JPNIC
PS: Hat Facebook kein gültiges SSL-Zertifikat oder werde ich hier umgeleitet?
Als ich https://www.facebook.de aufrief, bekam ich die Firefox Meldung angezeigt, dass dieser Verbindung nicht vertraut werde.
Wie sollte ich vorgehen, um den Virus zu beseitigen und die undichte Stelle zu finden?
Danke für euer Intresse.
Schöne Grüße,
Alex
