Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.06.2012, 17:33   #1
Benutzeramen
 
Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet - Standard

Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet



Hallo Zusammen,
vielen Dank, dass es freiwillige Helfer hier im trojaner-board gibt..


Auf meinem Rechner befindet sich laut Avast ein Virus und mein E-Mail-Konto wurde gehackt.

Über meinen Rechner und mein Surfverhalten:
Ich nutze Windows 7 Service Pack 1 x86 NTFS.
Avast! Free.
Malwarebytes.
Panda USB Vaccine.
Sandboxie.
Firefox 13.0.1, surfe über Sandboxie und nutze die Addons, ausser Adblock Plus, NoScript und GlassMyFox, nur in der Sandbox.
Die Host-Datei ist leer.
Kein Proxy.
SEHOP aktiviert (DisableExceptionChainValidation = 0).
DEP (Data Execution Prevention) ohne Ausnahme aktiviert.
Autorun deaktivert.
Eingeschränkter Nutzer: Das Adminkonto nutze ich nur, wenn ich Windows-Updates (eigentlich auf automatisch gestellt, jedoch überprüfe ich zuvor, welche der optionalen ich brauche) oder Malwarebytes aktualisiere bzw. beim installieren neuer Programme.

Avast! fand bei der Vollständigen Überprüfung einen Virus.
Mit Boot-Scan/Startzeit-Überprüfung von Avast! wurde nichts gefunden.
Die Vollständige Überprüfung möchte ich ungerne hochladen, da sie sehr viele persönliche Daten erhält. 27.764 Seiten in Word.

Avast fand folgendes:
Code:
ATTFilter
*
* avast! Bericht
* Diese Berichtdatei wurde automatisch erstellt
*
* Prüfungsname: Vollständige Überprüfung
* Start: Dienstag, 26. Juni 2012 00:00:14
* VPS: 120625-0, 25.06.2012
*

PID 0 [+] ist OK
PID 4 [+] ist OK

C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$R1LWCGO.rar|>283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\FS_2011.mdf [E] Archiv ist kennwortgeschützt. (42056)
Status: Fehler: Archiv ist kennwortgeschützt (42056)
Aktion: keine


C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RFMU3CH.rar|>283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\TEL.pdf [E] Archiv ist kennwortgeschützt. (42056)
Status: Fehler: Archiv ist kennwortgeschützt (42056)
Aktion: keine

C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RFMU3CH.rar|>283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\FS_2011.mds [E] Archiv ist kennwortgeschützt. (42056)
Status: Fehler: Archiv ist kennwortgeschützt (42056)
Aktion: keine


C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RQJWCEN.exe|>[UPX] [L] Win32:InstallCore-AM [PUP] (0)

C:\$Recycle.Bin\S-1-5-21-2316557332-106974197-3084524017-1003\$RQJWCEN.exe:Zone.Identifier [+] ist OK

Schweregrad: Niedrig
Status: PUP: Win32:InstallCore-AM[PUP]
Aktion: In Container verschoben
         

Malwarebytes fand nach einer Vollständigen Prüfung auf meinem Rechner nichts.

Code:
ATTFilter
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.19.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
NonAdmin :: USER [limitiert]

26.06.2012 10:37:33
mbam-log-2012-06-26 (10-37-33).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 264286
Laufzeit: 50 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Mein E-Mail-Konto bei Hotmail wurde gehackt.

Meine bei Firefox benutzten Erweiterungen:
Name Version Aktiviert ID
Adblock Plus2.0.3true{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
Bloody Vikings!0.5.4truebloodyvikings@ffs.bplaced.net
Bookmark Autohider0.1.7.9truebookmarkhider@exi.name
Firebug1.9.2truefirebug@software.joehewitt.com
FoxyProxy Standard3.6.2truefoxyproxy@eric.h.jung
GlassMyFox1.1.1trueGlassMyFox@ArisT2_Noia4dev
iMacros for Firefox7.4.0.8true{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}
NoScript2.4.6true{73a6fe31-595d-460b-a920-fcc0f8843232}
Turn Off the Lights2.0.0.100truestefanvandamme@stefanvd.net
anonymoX0.9.9trueclient@anonymox.net
avast! WebRep7.0.1426falsewrc@avast.com

Ich nutze Hotmail ausschließlich im Browser.
Jetzt habe ich zwar den Zugriff drauf wieder und das Kennwort auch geändert. Aber wie mein E-Mail-Konto gehackt wurde, kann ich mir nicht erklären. Mit meinem E-Mail-Konto bin ich nirgendswo registriert und gebe sie außer Freunden niemanden weiter. Ausschließlich lese und schreibe ich dort private E-Mails von Freunden. Junk-Mails kommen nie welche an, somit bekam ich noch nie eine Hotmail oder mir verdächtige E-Mail.

Von meinem E-Mail-Konto aus wurde Spam verschickt, welcher einen Link erhielt. Wer diesen Link angeklickt hat, wird dessen Konto ebenfalls übernommen und von demjenigen aus werden erneut Spam-Mails versendet.


Ein Beispiel der E-Mails:
Code:
ATTFilter
X-Originating-IP: [124.103.87.16]
[x]
Subject:
Date: Sun, 17 Jun 2012 12:58:45 +0200
Importance: Normal
MIME-Version: 1.0

--_ad61dc4a-59b5-40c0-a497-598f0de00cf0_
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


 hxxp://www.republicansagainstdeal.com/wp-content/themes/smells-like-facebo=
ok/googles.html?eefv=3Dogbh.jdg&himoj=3Dte.ww&sgb=3Duwiy 		 	   		  =

--_ad61dc4a-59b5-40c0-a497-598f0de00cf0_
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<html>
<head>
<style><!--
.hmmessage P
{
margin:0px=3B
padding:0px
}
body.hmmessage
{
font-size: 10pt=3B
font-family:Tahoma
}
--></style></head>
<body class=3D'hmmessage'><div dir=3D'ltr'>
<font style=3D"font-size: 10pt=3B" size=3D"2" face=3D"Tahoma "><a href=3D"h=
ttp://www.republicansagainstdeal.com/wp-content/themes/smells-like-facebook=
/googles.html?eefv=3Dogbh.jdg&himoj=3Dte.ww&sgb=3Duwiy"> hxxp://www.republi=
cansagainstdeal.com/wp-content/themes/smells-like-facebook/googles.html?eef=
v=3Dogbh.jdg&himoj=3Dte.ww&sgb=3Duwiy</a></font> 		 	   		  </div></body>
</html>=

--_ad61dc4a-59b5-40c0-a497-598f0de00cf0_--
         
Andere URLs waren u.a. :
Code:
ATTFilter
BITTE NICHT ANKLICKEN!
 hxxp://www.redteamproduction.com/wp-content/themes/vibrantcms/layouts/goog=
les.html?bfc=3Dvbb.mig&rth=3Dmkv.sus&ghb=3Dozau 

 hxxp://www.nmgphotography.com/nmgblog/wp-content/themes/prophoto3/googles.=
html?sdm=3Dvbb.sxfs&fgw=3Dmgh.hkm&shc=3Dxksz
         


Whois-Abfrage:
Code:
ATTFilter
Results for 124.103.87.16 :

% [whois.apnic.net node-2]
% Whois data copyright terms    hxxp://www.apnic.net/db/dbcopyright.html

inetnum:        124.96.0.0 - 124.103.255.255
netname:        OCN
descr:          NTT Communications Corporation
descr:          1-6 Uchisaiwai-cho 1-chome Chiyoda-ku, Tokyo 100-8019 Japan
country:        JP
admin-c:        JNIC1-AP
tech-c:         JNIC1-AP
status:         ALLOCATED PORTABLE
remarks:        Email address for spam or abuse complaints :abuse@ocn.ad.jp
mnt-by:         MAINT-JPNIC
mnt-lower:      MAINT-JPNIC
changed:        hm-changed@apnic.net 20060201
source:         APNIC

role:           Japan Network Information Center
address:        Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
address:        Chiyoda-ku, Tokyo 101-0047, Japan
country:        JP
phone:          +81-3-5297-2311
fax-no:         +81-3-5297-2312
e-mail:         hostmaster@nic.ad.jp
admin-c:        JI13-AP
tech-c:         JE53-AP
nic-hdl:        JNIC1-AP
mnt-by:         MAINT-JPNIC
changed:        hm-changed@apnic.net 20041222
changed:        hm-changed@apnic.net 20050324
changed:        ip-apnic@nic.ad.jp 20051027
source:         APNIC

inetnum:        124.103.0.0 - 124.103.127.255
netname:        OCN
descr:          Open Computer Network
country:        JP
admin-c:        AY1361JP
tech-c:         KK551JP
tech-c:         TT10660JP
tech-c:         TT15086JP
remarks:        This information has been partially mirrored by APNIC from
remarks:        JPNIC. To obtain more specific information, please use the
remarks:        JPNIC WHOIS Gateway at
remarks:        hxxp://www.nic.ad.jp/en/db/whois/en-gateway.html or
remarks:        whois.nic.ad.jp for WHOIS client. (The WHOIS client
remarks:        defaults to Japanese output, use the /e switch for English
remarks:        output)
changed:        apnic-ftp@nic.ad.jp 20060413
changed:        apnic-ftp@nic.ad.jp 20080630
source:         JPNIC
         

PS: Hat Facebook kein gültiges SSL-Zertifikat oder werde ich hier umgeleitet?
Als ich https://www.facebook.de aufrief, bekam ich die Firefox Meldung angezeigt, dass dieser Verbindung nicht vertraut werde.


Wie sollte ich vorgehen, um den Virus zu beseitigen und die undichte Stelle zu finden?

Danke für euer Intresse.

Schöne Grüße,
Alex

Alt 01.07.2012, 16:38   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet - Standard

Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet



Code:
ATTFilter
>283\FRANZIS.3D.Fuehrerschein.2011.ISO-TEL\FS_2011.mds
         


Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________

__________________

Alt 02.07.2012, 11:25   #3
Benutzeramen
 
Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet - Standard

Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet



  • Schritt 1: Ich habe cmd.exe als Admin geöffnet. Mehrmals mit rd /s /q C:\$Recycle.bin gelöscht.
    Damit wurden außer 2 Objekten zu denen der Zugriff verweigert wurde, alles gelöscht. In dem Papierkorb befanden sich 1 Datei und 4 unsichtbare Ordner. Eine Datei war von Skype.
  • Schritt 2: Im Taskmanager habe ich den Explorer.exe Prozess beendet und wieder im neuen Task geöffnet.
  • Schritt 3: Mit CCleaner habe ich benutzerdefiniert den Ordner C:\$Recycle.bin\*.* mit Dateien, Unterordner und dem Ordner selbst gelöscht.
  • Schritt 4: Vorsichtshalber habe ich Schritt 1 wiederholt.
  • Schritt 5: Nach Vollständiger Überprüfung von Avast! Free Antivirus und Malwarebytes wurden keine infizierten Objekte gefunden.
__________________

Alt 02.07.2012, 13:48   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet - Standard

Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet



Ja schön aber wer gecrackte Software verwendet muss mit Sicherheitsproblemen rechnen
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet
adblock, anti-malware, automatisch, autostart, avast, code, computer, dateien, dateisystem, email, erweiterungen, explorer, fehler, folge, gehackt, heuristiks/extra, heuristiks/shuriken, hotmail, klicke, link, link angeklickt, nicht vertraut, rechner, recycle.bin, seite, seiten, spam, trojaner-board, umgeleitet, usb, verbindung, vikings, virus, virus win32:installcore-am e-mail spam, win32, windows



Ähnliche Themen: Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet


  1. Nach öffnen eines E-Mail Inhaltes wurden an alle Kontakte eine E-Mail versendet
    Log-Analyse und Auswertung - 27.04.2015 (27)
  2. GMX gehackt, Nachrichten wurden verschickt, wahrscheinlich Virus
    Plagegeister aller Art und deren Bekämpfung - 23.07.2014 (15)
  3. Yahoo versendet Spam Mails mit meinem Mail-Konto
    Log-Analyse und Auswertung - 09.06.2014 (15)
  4. Mail Delivery System Mails... Mail-Konto gehackt?
    Plagegeister aller Art und deren Bekämpfung - 06.03.2014 (7)
  5. E-Mail Konto wurde anscheinend gehackt
    Plagegeister aller Art und deren Bekämpfung - 04.03.2014 (6)
  6. E-Mail Konto gehackt
    Plagegeister aller Art und deren Bekämpfung - 02.02.2014 (11)
  7. E-mail Konto gehackt
    Plagegeister aller Art und deren Bekämpfung - 27.01.2014 (17)
  8. mail gehackt - ebay-Konto missbraucht, Scans erhärten den Verdacht - System befallen!
    Log-Analyse und Auswertung - 06.01.2014 (15)
  9. Telekom-Brief: Netzwerk versendet Spams
    Plagegeister aller Art und deren Bekämpfung - 31.10.2012 (19)
  10. GMX Mail Konto versendet Spam-Emails
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (2)
  11. Passwort geknackt und Spams und Viren an alle in meinem Adressbuch versendet!
    Plagegeister aller Art und deren Bekämpfung - 20.09.2012 (21)
  12. Google Mail Konto: Spam-Email an alle meine Kontakte versendet
    Überwachung, Datenschutz und Spam - 22.11.2011 (1)
  13. Google Mail Konto: Spam-Email an alle meine Kontakte versendet
    Überwachung, Datenschutz und Spam - 25.04.2011 (0)
  14. Hotmail versendet Mail an Kontaktliste! gehackt?
    Log-Analyse und Auswertung - 06.01.2011 (1)
  15. gmx-Konto versendet mails -> Win32/Genetik trojan?
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (3)
  16. computer versendet spams (antivirus meldet trojaner)
    Log-Analyse und Auswertung - 14.05.2010 (3)
  17. Win32:Qhost-AI + Meldung Sie wurden Gehackt
    Plagegeister aller Art und deren Bekämpfung - 02.01.2007 (8)

Zum Thema Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet - Hallo Zusammen, vielen Dank, dass es freiwillige Helfer hier im trojaner-board gibt.. Auf meinem Rechner befindet sich laut Avast ein Virus und mein E-Mail-Konto wurde gehackt. Über meinen Rechner und - Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet...
Archiv
Du betrachtest: Virus:Win32:InstallCore-AM ; E-Mail-Konto gehackt: Spams wurden versendet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.