Hallöle werte Fachleute :-),
wir erhoffen hier, als eigentliche PC Laien, ein wenig Hilfe.
Zur Sachlage:
Vorgestern wollte mein Mann sich an seinem PC auf Ebay einloggen.
Er besuchte die originale Ebay - Seite und loggte sich ein. Er wurde dann sofort auf eine andere Seite umgeleitet, die ihn nach persönlichen Daten fragte, wie z.B. Kartennummer. Angeblich wäre da ein Sicherheitsproblem..... das das keine Ebay - Seite ist, ist offensichtllich.
An meinem Rechner kann er sich ohne weiteres normal einloggen.
Nun, er holte sich dann Malewarebytes auf den PC und lies es durchlaufen. Funde wurden entfernt und die Seite zeigte sich im Original... aber nur bis zum nächsten hochfahren des PC.
Er hat nun mehrfach MWB drüber laufen lassen aber immer dasselbe Problem.
Wir haben dann nach ebay Pishing etc gegoogelt aber nichts gefunden.
Macht er das an seinem Rechner, wird er interessanterweise beim anklicken einer Seite mit dem Wort EBAY wieder auf diese ominöse Seite weiter geleitet.
Wir sind mit unserem begrenzenten PC Wissen nun am Ende und erhoffen uns Hilfe von euch Profis.
Als Virenprogramm hat er Antivier als freien Download.
Lieben Dank für eure Zeit!
Hier die Logs von MWB
Zitat:
Trojan.AVKiller.Gen
RiskWare.Tool.CK
Trojan.FakeAlert
Trojan.Downloader
Exploit.Drop.COD
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.26.12
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Admin :: ADMIN-PC [Administrator]
Schutz: Aktiviert
26.07.2012 18:33:50
mbam-log-2012-07-26 (18-33-50).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 327238
Laufzeit: 29 Minute(n), 6 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mscj.exe (Trojan.Downloader) -> Daten: C:\Users\Admin\AppData\Roaming\MSA\mscj.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|mscj (Trojan.FakeAlert) -> Daten: c:\users\admin\appdata\roaming\msa\mscj.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 3
C:\Program Files (x86)\MegaDev\MD-Trainers\MT-X\MT-eXperience.exe (Trojan.AVKiller.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Admin\Downloads\Datenstick\keymaker\Keymaker.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Admin\Downloads\Datenstick\keymaker\KeyMakerWinAmp55.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.26.12
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Admin :: ADMIN-PC [Administrator]
Schutz: Aktiviert
27.07.2012 11:39:46
mbam-log-2012-07-27 (11-39-46).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 196678
Laufzeit: 2 Minute(n), 35 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org
Datenbank Version: v2012.07.27.08
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Admin :: ADMIN-PC [Administrator]
Schutz: Aktiviert
27.07.2012 17:46:03
mbam-log-2012-07-27 (17-46-03).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|H:\|I:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 330913
Laufzeit: 47 Minute(n), 49 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|renovator (Exploit.Drop.COD) -> Daten: C:\Users\Admin\AppData\Roaming\TeamViewer\{398FAE31-685E-4E7F-93A7-78A7A13F6837}\renovator.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 1
C:\Users\Admin\AppData\Roaming\TeamViewer\{398FAE31-685E-4E7F-93A7-78A7A13F6837}\renovator.exe (Exploit.Drop.COD) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
2012/07/28 10:05:30 +0200 ADMIN-PC Admin MESSAGE Starting protection
2012/07/28 10:05:32 +0200 ADMIN-PC Admin MESSAGE Protection started successfully
2012/07/28 10:05:35 +0200 ADMIN-PC Admin MESSAGE Starting IP protection
2012/07/28 10:05:36 +0200 ADMIN-PC Admin MESSAGE IP Protection started successfully
2012/07/28 11:16:47 +0200 ADMIN-PC Admin DETECTION C:\Users\Admin\AppData\Roaming\Identities\{300E9D87-666D-4B4A-9AA9-F1F6772981E4}\LicenseValidator.exe Exploit.Drop.COD QUARANTINE
|
28.07.2012, 15:12
Baum-Darstellung