Email wurde für Betrug bei Origin benutzt?
 

Guten Tag,

heute morgen kam auf eine meiner E-Mail Adressen die übliche Origin Willkommens E-mail. Ich hatte mich aber ganz sicher dort nicht registriert, und bin überhaupt schon lange nicht mir bei Origin gewesen (eigenes Konto ist auf einer anderen Mail Adresse)

Über Passwort Reset habe ich jetzt Zugriff auf dieses Origin Konto. Dort wurde auch etwas laut der Bestell Historie gekauft.

Wie soll ich mich jetzt weiter Verhalten? Ich wollte EA/Origin eine E-Mail schicken aber entsprechende Kontakt Daten konnte ich nicht finden bzw. gibt es gar nicht.

Ich will nur nicht nachher wegen Betrug und sonst was angezeigt werden, falls derjenige über meine E-Mail Adresse sich irgendwie Leistungen erschlichen hat.

Hallo und :hallo:

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Zitat:

Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor: Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C. Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE]. Setze den Curser zwischen die CODE-Tags und drücke STRG+V. Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten. http://www.trojaner-board.de/picture...&pictureid=307

Hallo cosinus,

ich habe tatsächlich vergessen das es vor ein paar Tagen bei Microsoft Security Essentials einen Treffer gab. Allerdings wird demnächst sowieso das Windows neu installiert, sodass ich mich nicht näher damit beschäftigt habe.
Ich glaube aber nicht, das den unbekannten mehr als die E-Mail Adresse bekannt ist. Sonst hätten sie sicher die Spuren verwischt oder ?

Wenn man ein Spiel bei EA auswählt bekommt man auch endlich mal die Möglichkeit eine E-Mail an EA zu schicken. Habe ich jetzt gemacht.

Bezüglich der Logs: Gibt es Microsoft Security Essentials Logs? Google spuckte keinen Treffer aus.

Konnte nur das in dem "Verlauf" Tap finden.

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Malwarebytes Anti-Rootkit http://img.trojaner-board.de/malware...otkit/logo.png

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

Hallo,

die Anleitung habe ich abgearbeitet. Vielen Dank für die weitere Antwort.

Ich möchte noch einmal drauf hinweisen: Das Thema hier sollte mir eine Meinung von einem Experten im Forum einbringen.

Um den Gedankengang und Befürchtung nachvollziehen zu können: Unbekannter erstellt Origin Konto über meine E-Mail Adresse -> "klaut" eine Leistung im Origin Store -> ich logge mich kurze Zeit später über meine IP-Adresse in dieses Konto ein -> der Verdacht einer möglichen Staftat fällt auf mich.

In erste Linie würde ich mich freuen wenn Du deine Meinung dazu wiedergeben könntest, eben ob ich überhaupt weiter tätig werden muss. Ansonsten möchte ich auf #3 verweisen, ob überhaupt weiter Energie in die Bekämpfung möglicher Maleware nötig ist, eben weil bald das System neu installiert wird. Sollte sich allerdings über die weitere Analyse die Ursache herausfinden lassen, wäre dies natürlich sinnvoll.

Wie bitte soll das klauen denn möglich sein bzw. warum glaubst du es wurde etwas unrechtmäßig erworben? Wenn jmd anderes unter deinem Namen etwas bestellt dann hätte er wenn überhaupt etwas sich auf deine Kosten erschlichen

Und warum?!
Mit welcher IP-Adresse wurde denn angeblich bestellt, etwa mit deiner?! :wtf:
Warum soll dir das als Straftat ausgelegt werden, du bist das Betrugsopfer in diesem Sinne!

Eben weil etwas in dem Bestell Verlauf ist. Das "klauen" in dem Sinne von Kreditkarten Betrug oder sonstiges. Jemand der mit seinen (legalen) Zahlungsdaten etwas bei Origin kauft, würde doch nicht irgend eine E-Mail Adresse nehmen auf die er keinen Zugriff hat?
Schon alleine weil man normalerweise auf alle Produkte die im Origin Konto sind, über die E-Mail zugriff bekommt.
In dem Fall ist das wohl ein wenig anderes, in dem Bestell Verlauf steht:
Need for Speed World Micro-content 300
NS 300 Need for Speed-Tokens

Das klingt für mich jetzt aber nicht nach irgendwelchen gratis Angeboten.
Ich kann bei der vergangenen Bestellung eben keine Details erfahren (Name, Zahlungsart). Umso komischer finde ich das ganze.
Stimmt, aber wenn sich eine Stunde später jemand anderes auf das selbe Konto anmeldet, könnte man meinen das dies der Täter wäre. Wenn z.B vorher die "Tat" über einen Anonymisierungsdienst abgelaufen ist und wenig später ich mich mit meiner zurückverfolgaberen IP.

Wenn du mit einem Auto unterwegs bist, mit dem vor einer Stunde eine Bank überfallen wurde, wirst du auch garantiert erst einmal angehalten.


Vielleicht habe ich auch völlig falsche Vorstellungen und zuviel Fantasie, sodass man eben einfach nicht weiter reagieren muss. :knuddel: Dann lösche ich jetzt das Origin Konto?

Also ich bin aus der Origin Diskussion raus, ich kann da nichts zu beitragen.
Nur eins noch, ich würde erstmal nichts bzgl. Origin unternehmen, das Konto ist ja wieder in deiner Hand nach der Passwortänderung.

Wichtiger ist, dass wir deinen Rechner weiter abklopfen.

An für sich erstmal eine nette Idee dieser Vergleich. Nur absolut nicht auf das Internet übertragbar und zwar einfach weil einfach zuviele dynamische IP-Adressen im Spiel sind.

Auf dein Autobeispiel übertragen wäre es eher so, dass man bei jeder Autofahrt bzw. bei jedem neuen Einsteigen in ein Auto (analog zu Internet: bei jeder neuen Einwahl bzw. Herstellen einer neuen Internetverbindung) irgendein beliebig gerades parkendes Auto nähme und damit losführe. Und das machst nicht nur du sondern (fast) jeder. :kaffee: (analog: eben alle die eine dyn. IP haben)

Machen wir mal weiter:

1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtg4nzy0ywy5/settings_2012-09-04.png

Da habe ich mich wohl falsch ausgedrückt. Das Auto ist nicht die IP-Adresse sondern das Origin Konto. Und in diesem Auto saßen eben nicht viele Leute bisher drin. Nämlich nur ich und der Unbekannte mit jeweils maximal zwei IP Adressen (allerdings garantiert zurück verfolgbar über ISP da Zeitstempel).

aswMBR:
TDSS-Killer
Dann kam inzwischen ein weiterer Treffer bei MSE (Microsoft Security Essentials):

Ich möchte dann gerne das System Neuaufsetzen. Spricht irgendetwas dagegen? Vorgehen dann wahrscheinlich wie hier.
hxxp://www.trojaner-board.de/126337-computerverhalten-verdacht-zbot-logs-anbei.html#post949420

Nein, folge einfach dem Artikel Neuinstallation von Windows

Ich hoffe du gestattest eine Frage etwas außerhalb des Themas:
Mein Windows System ist extrem unübersichtlich/chaotisch. Deswegen kopiere ich normalweise das komplette Windows auf eine externe Festplatte, damit ich mir nach und nach die Daten, die ich benötige, holen kann. Nun ist dies aber ja eher nicht ratsam aufgrund der Infizierung mit dem Keylogger.

Ich bräuchte also ein komplettes Image von dem jetzigen Zustand, was ich auf dem sauberen System sozusagen in eine Sandbox einbinde, um dort im Verlauf der nächsten Tage mir aus diesem jetzigen Zustand die Daten zu holen.

So etwas müsst es doch geben oder?

Wenn man sich mal eingehender mit Windows7 beschäftigt, stellt man fest, dass es bereits ein Bordmittel für komplette Abbilder einer Festplatte bzw. einer Partition (im MS-Jargon "Volume") hat ;)

Findest du in der Systemsteuerung.

Ein kleines und feines Tool wenn man das Bordmittel nicht nehmen will wäre Drive Snapshot - Disk Image Backup leicht gemacht
Ich nutz das unter Windows auch häufiger

Das wiederum habe ich bis jetzt nicht nicht benutzt. Bisher hatte ich eben einfach alle Dateien auf ein externes Medium mit dem Explorer gespielt, aber es sind keine Daten verloren gegangen.

Kann ich dieses Volume dann auch wieder unter dem neuen Windows eben so einbinden, ohne das der Keylogger wieder auf die saubere Partition zugreifen kann? Eben in einer "Sandbox".

Du willst aber ein Image erstellen. Das geht ohne solche Tools oder ohne das Win7 Bordmittel nicht. Einfach nur Dateien rüberkopieren damit ist es nicht getan.

Und ja, mit Drivesnapshot geht das. Der mappt dir das Image einfach als virtuelle Platte mit Laufwerksbuchstaben. Da ist nichts Sandbox warum auch, das infizierte System wird ja nicht ausgeführt!

Das ist gerade noch der knackpunkt. Ich dachte eigentlich Viren verbreiten sich schnell über Wechseldatenträger oder ähnliches auch wenn diese nur angschlossenn werden, aber nicht direkt gebootet. Bin ich da also nicht mehr auf dem aktuellen Stand. ;-)

Quelle: hxxp://www.hijackthis-forum.de/allgemeines/58541-infizierter-pc-passwoerter-aendern-daten-sichern.html

Deswegen die Nachfrage??!