Hallo, gestern hatte ich ein Erlebnis der dritten Art. Ich habe gerade Angry Birds gespielt, als plötzlich der Mozilla-Browser aufging und die Suchmaske vom Explorer und das Outlook und tatsächlich etwas eingegeben wurde. ich habe die Fenster wieder geschlossen, aber sie öffneten sich immer wieder.. Dann hatte ich die Nase voll und habe den PC herunter gefahren, kaum war er wieder neu gestartet, versuchte doch tatsächlich jemand ein Passwort am PC einzugeben. Also habe ich den PC wieder herunter gefahren und den Router zur Sicherheit auch abgeschaltet. Frage 1: Wie kann das passieren? Frage 2: Ich habe vor, als nächstes das Internet vom Router abzuziehen, den Router wieder hochzufahren und das Routerpasswort sowie die WLAN-Schlüssel zu ändern und dann erst wieder die Verbindung zum Internet herzustellen, damit ich mir eine rescue-iso holen kann. Was könnt Ihr mir empfehlen? Ich benutze als Virenscanner Avira Premium 2012 (ohne Firewall, da ich ja im Router eine habe, der Router ist ein speedport 720 W von der Telekom), der Virenscanner ist immer auf dem neuesten Stand. Das Betriebssystem ist ein Windows 7 Home Premium 64 bit Ist das die richtige Vorgehensweise? Ich speicherre prinzipiell keine Passwörter auf dem PC, auch keine Kreditkartendaten, PINs oder TANs, so dass ein Datenklau dem Hacker nicht wirklich etwas bringen würde, zumindest keinen finanziellen Vorteil. Mein Verdacht ist, dass evtl. die jucheck.exe der Übeltäter ist, die normalerweise für das Update der Java-Software zuständig ist. Diese ist aufgepoppt, aber da ich immer alle Installationen bestätige, habe ich mir in dem Moment nichts dabei gedacht. Vielleicht kann mir jemand helfen, was ich jetzt außer den genannnten Aktionen noch machen kann. Das war echt strange....

Update 09.11.2012: Ich habe wie oben beschrieben, das Kabel zum Internet abgezogen und den Router neu gestartet, jetzt kann ich mich nicht mehr am PC anmelden, weil die Tastatur nicht funktioniert. Ich hatte gedacht, dass es die Batterien sind, aber jetzt habe ich den Verdacht, dass es vielleicht ein keylogger ist, der mich daran hindert. Da ich momentan kein Internet dran habe, ist dadurch evtl. auch die Tastatur blockiert. Mein Problem ist, dass ich z. Bsp. die Kaspersky Rescue Disk dadurch nicht starten kann, weil diese eine Tastatureingabe verlangt. Avira-Rescue hat nichts gefunden. Die CMOS Datei baue ich nicht noch einmal aus, weil ich Angst habe, dass mir mein PC schon wieder abschmiert und einen Hardwarefehler produziert. Ich habe ihn gerade wieder aus der Reparatur von Medion zurück und es ist schlimm genug, dass ich ihn wahrscheinlich noch einmal neu aufsetzen muss. Ich konnte nach dem Neuaufsetzen noch nicht einmal ein Backup machen, damit ich nicht soviel Arbeit habe, nur meine Daten sind mir erhalten geblieben, da ich diese auf einer anderen Platte gesichert habe.
Diesen Text schreibe ich über mein Laptop mit meinem USB-Internetstick. Frau weiß sich schließlich zu helfen. ;-)

Please Help

Ich warte auf genaue Anweisungen und werde alles genau befolgen.

Mit freundlichen Grüßen

Andrea Seyfarth

Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Zitat:

Update 09.11.2012: Ich habe wie oben beschrieben, das Kabel zum Internet abgezogen und den Router neu gestartet, jetzt kann ich mich nicht mehr am PC anmelden, weil die Tastatur nicht funktioniert.

Das eine hat mit dem anderen nichts zu tun. Selbst wenn dein Router defekt wäre, das intressiert deine Tastatur nicht die Bohne
Was genau ist eigentlich jetzt das Problem, du hast diesen Rechner doch neu aufgesetzt!

Hallo Cosinus,
vielen dank für die Antwort,
das mit meiner Tastatur hat sich erst einmal erledigt, das war wohl der typische Zufall. Anscheinend ist der Empfänger der Tastatur ausgefallen, (an den Batterien lag es jedenfalls nicht), eine normale Tastatur mit Kabel funktioniert.

Damit habe ich jetzt erst einmal das Routerpasswort geändert, wie beabsichtigt, ohne Verbindung zum Internet natürlich. Natürlich habe ich den PC kurz davor neu aufgesetzt.

Trotzdem bleibt immer noch das Problem, dass jemand am Mittwoch definitiv auf meinem PC war und ich habe keine Fernwartungssoftware darauf und niemandem Zugriff gestattet.

Ein kleines Update zum Router: es ist ein speedport 722 W von der Telekom.
Und nein, der Router ist nicht kaputt, nur momentan vom Internet abgetrennt,
Weil ich Angst habe, dass ich wieder einen "Big Brother" drauf habe.

Ich möchte jetzt erst einmal wissen, mit welchen Tools ich prüfen kann, wer und wie sich Zugriff verschafft haben kann und ob ich einen Trojaner drauf habe. Da ich meinem Antivir in der Hinsicht nicht traue, bitte ich um eine Info, welche Tools ich dafür parallel benutzen kann.

Vielen Dank im Voraus für die Hilfe.

Mit freundlichen Grüßen

Andrea

Da du den Rechner geplättet und neu installiert hast, lässt sich das ja nun nicht mehr herausfinden

Hallo Cosinus,

da hast du wohl etwas falsch verstanden. Mein PC war vor kurzem in Reparatur bei Medion, da wurde er auf Auslieferungszustand zurück gesetzt, so dass ich alles neu installieren musste.

Erst danach hatte ich dieses eigenartige Erlebnis. Mein PC ist also jetzt noch nicht wieder geplättet und in dem selben Zustand wie am Mittwoch, also mit allen Prozessen und Spuren, die evtl noch zu finden sind. Ich fürchte nur, dass ich nicht um eine Neuinstallation komme, wenn ich mit der Recherche und Säuberungsaktion fertig bin.

Das einzige, was ich gemacht habe, ist, dass ich das Routerpasswort geändert habe, nachdem ich den Router vom Internet getrennt habe und den Router wieder neu gestartet habe.

Als Virenscanner habe ich den Antivir Premium 2012 mit allen Updates bis 07.11.2012 drauf (die Bezahlvariante). Auch die Updates von Windows waren alle bis zum 07.11.2012 aktuell. Das ist für mich generell ein absolutes Muss.

Und jetzt kommt Ihr ins Spiel. Sagt mir bitte, was ich jetzt tun soll, welche Logfiles Ihr braucht und welche Tools ich dazu verwenden soll. Ich werde alles tun und vollkommen kooperieren, bis der PC wieder sauber ist. Es kann natürlich auch bei mir etwas dauern, dass ich reagiere, da ich tagüber auf der Arbeit bin und erst am Abend etwas tun kann. Kommunizieren können wir über den Laptop mit dem USB-Stick. Ihr versteht sicher, dass ich meinen Router nicht mit dem Internet verbinden möchte, bis sicher ist, dass keiner mehr eindringen kann.

Mit freundlichen Grüßen

Andrea

Und wann genau war die angebliche Reparatur duch Medion?
Am 07.11.2012 also vor noch nicht ganz einer Woche wurde dein Rechner womöglich ferngesteuert, wie lange ist das her als der Rechner repariert wurde? Wurde er auch tatsächlich neu aufgesetzt, was steht genau im Reparaturbericht?

Hallo Cosinus,
Also eingeschickt an Medion habe ich den PC am 04.10.2012, wieder erhalten habe ich ihn am 26.10.2012, entgegengenommen hat ihn meine Nachbarin.
Angeschlossen und neu eingerichtet habe ich ihn in der Zeit vom 30.10.2012 bis 04.11.2012 (immer stückchenweise, zuerst den Virenscanner und die ganzen Windowsupdate, danach erst alles andere. Zum Schluss habe ich noch meine Steuer- und Bankingsoftware installiert, aber noch nichts eingerichtet, das wollte ich eigentlich letztes Wochenende machen.
Davon abgesehen, sensible Daten wie Kreditkartendaten, Pin's und TAN's hinterlege ich prinzipiell nicht auf auf dem PC, außerdem mache ich Banking nur über HBCI oder über das Chip-TAN-Verfahren. Meine Speedportkonfiguration habe ich ausgedruckt und zusätzlich digital auf einem Wechselmedium abgelegt und die Datei auch noch mit Passwort gesichert. Ihr dürft davon ausgehen, dass dieses Passwort ein sicheres ist.

Repariert bzw. getauscht wurde von MEDION die SSD-Platte (ist das die richtige Bezeichnung?), das ist auch die Platte, wo meine ganzen Programme vorher installiert waren.
Der Grund dafür war, dass mein PC immer wieder mit Bluecreen abegestürzt ist, die Fotos dazu kann ich auch liefern, wenn du Wert darauf legst. Da ich Garantie hatte, hat mich die Sache auch nichts gekostet (nur Zeit ;-) Seit ich ihn wieder habe, läuft er auch wieder wie ein Bienchen.

Der PC war im Auslieferungszustand, das heißt, es waren nur die Programme drauf, die Medion generell bei Auslieferung auf den PC's vorinstalliert. Es gab einen Benutzer UserPC, den ich sofort nach Einrichtung eines Adminkontos auf Standarduser gesetzt habe, also ohne Berechtigungen, irgendetwas am PC zu ändern. Die Berichte zur Reparatur sende ich euch heute Abend zu, wenn ihr mir sagt, wohin ich die schicken soll. Ich wollte den User noch nicht löschen, das werde ich aber nach der Säuberungsaktion noch tun, außerdem werde ich sicherheitshalber auch noch mein anderes Passwort ändern, obwohl ich nichts eingetippt habe, als ich gemerkt habe, dass jemand versucht hat, darauf zuzugreifen, sondern sofort den PC heruntergefahren habe. Vorsicht ist die Mutter der Porzellankiste, auch wenn ich momentan von diesem PC aus nicht auf das Internet zugreife. Zusätzlich werde ich mir einen zweiten User hinterlegen, der auch keine Adminrechte hat und mit dem ich normal arbeiten kann.

Was am 07.11.2012 passiert ist war folgendes:
Es wurden folgende Programme geöffnet während ich am PC war, die ich definitiv nicht geöffnet habe:
Firefox (16.02., mit den neuesten Updates)
Outlook
Windows Explorer /Suchmaske
Als ich sie geschlossen habe, wurden sie sofort wieder geöffnet.
Daraufhin habe ich den PC heruntergefahren und wieder neu gestartet
Als ich das Passwort eingeben wollte, wurde etwas beim Passwort eingegeben (3 Zeichen), zumindest habe ich gesehen, wie 3 Punkte nacheinander erschienen, ohne dass ich die Tastatur auch nur berührt hätte. Daraufhin habe ich den PC wieder herunter gefahren, vom Strom getrennt und den Router vom Strom getrennt.
Am nächsten Tag habe ich dann das Kabel, welches den Router mit dem Internet verbindet, herausgezogen und den Router neu gestartet, so dass ich nur telefonieren und mich in meinem eigenen Netzwerk bewegen kann. Nachdem ich dann meine Tastatur ausgetauscht habe, weil die kabellose irgendwie nicht mehr funktioneirte, habe ich das Routerpasswort geändert. Mehr ist jetzt erst einmal nicht passiert. Ich habe im Router die Geräte per MAC-Adresse hinterlegt, die über das WLAN kommunizieren dürfen, das sind mein Drucker, mein Fernseher, mein Handy und der Laptop. Anderen Geräten ist es nicht erlaubt, darauf zuzugreifen. Die Konfiguration kann ich ja auch mal zusenden. (allerdings mit entferntem WLAN-Schlüssel)

Wenn noch weitere Informationen benötigt werden, bitte ich um Antwort. wegen der Berichte, die ich heute Abend senden kann, bitte ich um eine Angabe einer Mailadresse oder eines Linkes, wohin ich die Daten hochladen kann, da ich das ja nicht unaufgefordert machen soll.

Haben evtl. Nachbarn das gleiche Set an Funktastaturen? Hört sich vllt weit hergeholt an und hab ich selbst auch noch nicht erlebt, aber ich meine mal gelesen zu haben, dass wenn Nachbarn die gleiche Funktastatur haben wie du unbeabsichtigt deinen Rechner steuern können

Wie sieht das mit der Verschlüsselung des WLANs aus? Damit meine ich NICHT die MAC-Filter
Wenn richtig verschlüsselt wurde sind MAC-Filter eigentlich überflüssig.

Zitat:

bitte ich um eine Angabe einer Mailadresse oder eines Linkes, wohin ich die Daten hochladen kann, da ich das ja nicht unaufgefordert machen soll.

In welchem Format liegen die Berichte vor? Einfach zippen und hier anhängen wenn es zu groß sein sollte

Hallo Cosinus.

Verschlüsselung des WLANS:
bisher WPA2-Personal, AES
momentan WPA2/WPA AES/TKIP
Ich hoffe, dass es das ist, was du meinst
Ich wollte eigentlich dem WLAN einen neuen Schlüssel gönnen, so richtig heftig mit Groß- und Kleinbuchstaben und Ziffern, das nimmt aber mein Drucker nicht, der meckert immer, dass der Schlüssel ungültig ist. Der Drucker ist ein HP Drahtloser e-All-in-One-Drucker - B110c oder B110a (kann ich jetzt nicht nachsehen). Deswegen habe ich jetzt erst einmal den alten Schlüssel wieder genommen, der hat zwar auch eine Menge Zeichen, aber nicht so viele. Das mit der Funktastatur, das war eine Tastatur von Medion, die damals zum Set meines vorigen PC's gehörte, kein Bluetooth, sondern mit einem am USB angeschlossenen Sender. Mit dieser Tastatur arbeitete ich bereits seit 4 Jahren und hatte in der Hinsicht noch nie Probleme. Das W-LAN benutze ich seit Ende 2010 und hatte bisher auch noch nie Probleme damit. Meine direkten Nachbarn haben entweder andere Netzanbieter (In der Liste der verfügbaren Netzwerke habe ich Vodafone, Alice etc.) oder gar kein Internet. Es gibt bei uns im Haus auch ältere Leute, die mit PC und Internet nichts am Hut haben, die restlichen Mieter mit PC könnten auch mit Laptop arbeiten, das weiß ich nicht so genau. Der Zufall ist ziemlich hoch, dass irgendjemand diesselbe Tastatur haben könnte, aber ausschließen kann man das natürlich nicht. Welcher Typ das ist, muss ich heute Abend nachsehen, die Tastatur habe ich noch nicht weggeräumt. Die Berichte werde ich heute Abend zusammenpacken. Wie groß darf der Anhang denn sein?

Mit freundlichen Grüßen

Andrea

Wenn's zu groß wird einfach bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken.
Bitte auch nur eine ZIP für alle Dateien sodass ich nur einen Download tätigen muss und alle Dateien bekomme

Hallo Cosinus,
So und hier sind jetzt die gesammelten Werke dessen was ich an Berichten gesammelt habe, wobei man den Testreport von Medion in der Pfeife rauchen kann. Aussagekräftiger ist dabei schon eher der Reparaturschein (PDF).
Anbei ist auch die Konfigurationsdatei des Speedports, wobei ich sensible Daten, wie den Schlüssel, die SSID und die MSN-Nummern, geschwärzt habe.
Außerdem habe ich die Fehlermeldungen als jpegs darein gepackt, damit klar wird, warum ich den PC in Reparatur hatte. Ich hoffe, die Daten sind aussagekräftig genug.

Mit freundlichen Grüßen
Andrea

Hallo Cosinus,

Und hier ist der fileupload_link:

Link entfernt //cosinus

Ich hoffe, du kannst was mit den Infos anfangen.

Freundliche Grüße

Andrea

Ich mach den Link schnell unkenntlich, deine Dokumente enthalten private Daten wie Adresse und Telefonummer!

1. aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehlalarm!

• Starte die aswMBR.exe Vista und Win7 User aswMBR per Rechtsklick "als Administrator ausführen"
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.


2. TDSS-Killer

Download TDSS-Killer auf Desktop siehe => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition ( meistens Laufwerk C: ) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

Hallo cosinus,

hier sind die Reporte von aswMBR und TSSD-Killer.
Da der Text bei der Reportdatei des TSSD-Killers ziemlich lang ist,
habe ich alle beiden Dateien in eine Zipdatei gepackt.

Bin mal gespannt, ob etwas zu entdecken ist, der TSSD hat zumindest 6 verdächtige Dateien gefunden.

Mit freundlichen Grüßen

Andrea

Die Logs sind unauffällig

Mach bitte einen CustomScan mit OTL


Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

msconfig
netsvcs
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMROOT%\system32\drivers\*.sys /lockedfiles
%SYSTEMROOT%\System32\config\*.sav
%SYSTEMROOT%\*. /mp /s
%SYSTEMROOT%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread