virus hat banking manipuliert
 

Hallo!
Versuche nun das dritte mal, ein Thema zu eröffnen. Hat zwei mal nicht funktioniert wegen fehlender "Sekurity...?"
Ein Virus hat mein Online-Banking manipuliert, eine angebliche Gutschrift, die ich zurücküberweisen sollte.
Habe Eset-scan und Avira-scan bereits gemacht.
Habe eure Anweisungen abgearbeitet, die Logs sind seeeehr lang. Soll ich die als Anhang schicken?

:hallo:

Mein Name ist Jürgen und ich werde Dir bei Deinem Problem behilflich sein. Zusammen schaffen wir das...:abklatsch:

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig durch bevor Du beginnst. Wenn es Probleme gibt oder Du etwas nicht verstehst, dann stoppe mit Deiner Ausführung und beschreibe mir das Problem.
• Führe bitte nur Scans durch, zu denen Du von mir aufgefordert wurdest.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder deinstalliere während der Bereinigung keine Software, außer Du wurdest dazu aufgefordert.
• Speichere alle unsere Tools auf dem Desktop ab. Link: So ladet Ihr unsere Tools richtig
• Poste die Logfiles direkt in Deinen Thread in Code-Tags.
• Bedenke, dass wir hier alle während unserer Freizeit tätig sind, wenn du innerhalb von 24 Stunden nichts von mir liest, dann schreibe mir bitte eine PM.

Los geht's:

Schritt 1
http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo Jürgen, erst mal vielen Dank für euer Angebot. Ich bin jetzt allerdings krank geworden, melde mich also in einigen Tagen erst zurück. Bis dann.

OK. :)

Da bin ich wieder.
FRST 64bit runtergeladen, beim Versuch, es auszuführen, sagt er: nicht genug Systemresourcen und Avira blockiert immer.

Ich würde es ja gut finden, wenn Avira das Online Banking absichern und nicht vor FRST warnen würde.
:D

Avira Echtzeitschutz bitte deaktivieren und nochmal versuchen.

Wenn Du schon FRST-Logs gemacht hast, diese bitte anhängen.

Posten des FRST-Log "wegen fehlender Securitytokens nicht möglich"

Bitte dann bei pastebin posten und auf submit klicken:
Pastebin.com - #1 paste tool since 2002!

Link anschließend hier posten.

[] Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:20-11-2 - Pastebin.com

Nö...:) Ich brauche die URL nach dem Drücken von submit als Link.

Z.B.

gibts da auch ein problem? das kommt nach drücken von submit:
AD-BLOCK DETECTED - PLEASE SUPPORT PASTEBIN BY BUYING A PRO ACCOUNT
For only $2.95 you can unlock loads of extra features, and support Pastebin's development at the same time.
pastebin.com/pro
Spam Detection For Pastebin ID: c41m0WsQ
Your paste has triggered our automatic SPAM detection filter. This happens when links or certain keywords are detected in a paste. It can also happen if you are creating a lot of items in a short period of time. To confirm you are not a bot, please fill out the captcha below.
Captcha Image:
Enter Captcha:
Submit


TIP: Cookies in your browser must be enabled to solve the Captcha request.

Mach einfach das Captcha und poste dann die URL-Zeile aus dem Browser.

das hatte ich ja getan?
[] Untersuchungsergebnis von Farbar Recovery Scan Tool (FRST) (x64) Version:20-11-2 - Pastebin.com

? "handschriftlich" nochmal:
pastebin.com/4LK2W1tQ

pastebin.com/4LK2W1tQ

Haste nen Email-Anhang angeklickt oder? :)

Die Logs sind nicht vollständig. Ich brauche sie komplett. Kannst auch an meine Email senden:

Naja, von alleine kommt das Zeug nicht auf den PC. :)

Bitte kein Onlinebanking etc. mehr von diesem PC aus machen. Alle sensiblen Online-Passwörter müssen von einem anderem Gerät (Tablet, Handy, sauberer PC) geändert werden.

Schritt 1

Echtzeitschutz des Virenscanners abschalten.

http://www.deeprybka.trojaner-board.de/zoek/avira.gif


Schritt 2
http://deeprybka.trojaner-board.de/b...s/combofix.pngScan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Combofix hat ein paar Sachen gelöscht, die vermutlich keine Malware sind...:D
Was davon brauchst Du denn wieder?


Schritt 1
Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 2

http://deeprybka.trojaner-board.de/m...mbamlogo4a.pnghttp://deeprybka.trojaner-board.de/m...mbamlogo4b.png

• Download und Anleitung
• Starte Malwarebytes' Anti-Malware (MBAM).
• Sollte die Benutzeroberfläche noch in Englisch sein, klicke auf Settings und wähle bei Language Deutsch aus.
• Unter Einstellungen/ Erkennung und Schutz setze bitte einen Haken bei "Suche nach Rootkits".
• Gehe zurück zum Armaturenbrett und klicke auf "Jetzt scannen".
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben und poste mir das Log.

Schritt 3

http://filepony.de/icon/frst.pnghttp://deeprybka.trojaner-board.de/b...e/frst/sn1.PNG

Bitte starte FRST erneut, markiere auch die checkbox http://deeprybka.trojaner-board.de/b...t/addition.pngund drücke auf Untersuchen.
Bitte poste mir den Inhalt der beiden Logs die erstellt werden.

hab ich gesehn, kann weg
hab logs über mail geschickt

Schritt 1

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Nur noch den Schritt mit DelFix ausführen! :)




http://deeprybka.trojaner-board.de/b...cleanupneu.png
Cleanup:
(Die Reihenfolge ist hier entscheidend)

Falls Defogger verwendet wurde: Erneut starten und auf Re-enable klicken.

Falls Combofix verwendet wurde:
http://deeprybka.trojaner-board.de/b.../combofix2.pngCombofix deinstallieren

• Wichtig: Bitte Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.
  
• Drücke bitte die http://deeprybka.trojaner-board.de/b...ne/revo/w7.png + R Taste und schreibe Combofix /Uninstall in das Ausführen-Fenster.
• Klicke auf OK.
  Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert.
• Nun die eben deaktivierten Programme wieder aktivieren.

Alle Logs gepostet? Dann lade Dir bitte http://filepony.de/icon/tiny/delfix.pngDelFix herunter.

• Schließe alle offenen Programme.
• Starte die delfix.exe mit einem Doppelklick.
• Setze vor jede Funktion ein Häkchen.
• Klicke auf Start.

Hinweis: DelFix entfernt u.a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
Starte Deinen Rechner abschließend neu. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein, kannst Du diese bedenkenlos löschen.


http://deeprybka.trojaner-board.de/b...ast/schild.png
Absicherung:
Beim Betriebsystem Windows die automatischen Updates aktivieren. Auch die sicherheitsrelevante Software sollte immer nur in der aktuellsten Version vorliegen:

Browser
Java
Flash-Player
PDF-Reader

Sicherheitslücken (z.B. hier) in deren alten Versionen werden dazu ausgenutzt, um beim einfachen Besuch einer manipulierten Website per "Drive-by" Malware zu installieren.
Ich empfehle z.B. die Verwendung von Mozilla Firefox statt des Internet Explorers. Zudem lassen sich mit dem Firefox auch PDF-Dokumente öffnen.

Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.

Verwende ein Antivirusprogramm mit Echtzeitscanner und stets aktueller Signaturendatenbank.

Meine Kauf-Empfehlung:

http://deeprybka.trojaner-board.de/eset/ESS.png
ESET Smart Security

Zusätzlich kannst Du Deinen PC regelmäßig mit Malwarebytes Anti-Malware scannen.

Optional:
http://filepony.de/icon/noscript.png NoScript verhindert das Ausführen von aktiven Inhalten (Java, JavaScript, Flash,...) für sämtliche Websites. Man kann aber nach dem Prinzip einer Whitelist festlegen, auf welchen Seiten Scripts erlaubt werden sollen.
http://filepony.de/icon/malwarebytes_anti_exploit.pngMalwarebytes Anti Exploit: Schützt die Anwendungen des Computers vor der Ausnutzung bekannter Schwachstellen.


Lade Software von einem sauberen Portal wie http://filepony.de/images/microbanner.gif.
Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen, fürs Programm, irrelevanten Ergänzungen.
Um Adware wieder los zu werden, empfiehlt sich zunächst die Deinstallation sowie die anschließende Resteentfernung mit Adwcleaner .


Abschließend noch ein paar grundsätzliche Bemerkungen:
Ändere regelmäßig Deine wichtigen Online-Passwörter und erstelle regelmäßig Backups Deiner wichtigen Dateien oder des Systems.
Der Nutzen von Registry-Cleanern, Optimizern usw. zur Performancesteigerung ist umstritten. Ich empfehle deshalb, die Finger von der Registry zu lassen und lieber die windowseigene Datenträgerbereinigung zu verwenden.

Hallo nochmal, kann Defogger nicht erneut starten.
Da steht aber auch: defogger reenable 0 Bytes
Ist das vielleicht gar nicht nötig, diesen Schritt zu tun?

Wo steht das?

am Speicherort (Desktop) als "Name"

Lade es halt nochmal neu runter und versuch es dann.

vom Internet neu runterladen?

jetzt kann ich Avira nicht deaktivieren, es geht bei dem Versuch ein Fenster auf:
C:/Programm Files (x86)/Avira/Antivirus/ccuac.exe
Es wurde versucht, einen Registrierungsschlüssel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

Ich will Avira sowieso entfernen, soll ich das gleich machen?

Wieso willst Du Avira deaktivieren?

weil das in deiner Anleitung steht als sehr wichtig nach Combofix deinstallieren

Ich habe doch geschrieben, dass Du nur DelFix ausführen sollst...?

:-)

Hallo,
nun hab ich von der Telekom einen Brief bekommen, mit folgendem Inhalt:
________________________Brief 1 Anfang
Sehr geehrte Frau Klindwort,
von Sicherheitsexperten haben wir Hinweise erhalten, dass von lhrem lnternetzugang
aus Spam-Mails versendet wurden, Möglicherweise wird lhr lnternetzugang dazu ohne
lhr Wissen von Dritten genutzt.
Um zu verhindern, dass über lhren lnternetzugang andere Nutzer geschädigt werden,
mussten wir lhren Versand von E-Mails über E-Mail Programmen wie zum Beispiel
Microsoft Outlook oder Mozilla Thunderbird einschränken, Nicht betroffen sind das
Versenden über lhre "@t=online.de E-MailAdresse und die Versendung über das E-Mail
Center (https://email.t-online.de). Sie können weiterhin E-Mails empfaigen.
Wir empfehlen lhnen jetzt folgende Schritte:
1 , Bitte stellen Sie zunächst sicher, dass lhr Computer frei von Viren und Trojanern ist.
Verwenden Sie hierzu bitte eine Schutzsoftware lhrerWahl.
2. Andern Sie dann alle Passwörter: ' -{
-das,,PersönlicheKennwoft"(fürdieEinwahlins lnternet) .
- das ,,Passwort" (für das E-Mail- und Kundencenter)
- das ,,E-Mail-Passwort" (für E-Mail Programme, wie z.B. Microsoft Outlook)
für die Dienste der Deutschen Telekom.
Dies können Sie zentral im Kundencenter unter
https://ku ndencenter.telekom.de/ku ndencenter/ku ndendaten/passwoe rter
tätigen. Vergessen Sie nicht etwaige Passwörter für Onlinebanking, eBay, Amazon,
Paypal und so weiter, falls Sie solche Dienste nutzen.
3' Bitte prüfen Sie auch die Einstellungen lhres Computers, ob das Betriebssystem und die
install ierte Software aktuell sind.
Die Reihenfolge ist wichtig, da die neuen Passwörter direkt wieder von Dritten ausgelesen
werden könnten, wenn eine vorhandene Schadsoftware nicht zuvor entfernt wurdel
Wenn Sie hierbei Unterstützung benötigen, erreichen Sie uns von Montag bis Freitag
zwischen 08:00 Uhr bis 1 B:00 Uhr direkt unter der kostenfreien Rufnummer 0800 5544 300.
. Halten Sie hierzu lhre Abuse lD und Zugangsnummeri welche Sie im Betreff finden, bereit.
Auf unserer Seite https://abusefaq.telekom.de haben wir lhnen viele hilfreiche Tipps und
Links zu m Thema,,Sicherheit" zusammengestellt.
Einsch ränku ng f reischalten
Um alle E-Mail Funktionen wieder vollständig nutzen zu können, wenden Sie sich
bitte schriftlich an unser Abuse Team.
E-Mail: abuse@telekom,de
Fax: 061 51 -680-9399
I nternet: https://abusefaq.tele kom.de/f reischalten, html
Folgende Daten benötigen wir für die Aufhebung der Einschränkungen, lhre Zugangsnummer
und eine Kontakt E-MailAdresse, falls diese von der *@t-online,de
E-tr,'tait Adreise äbweicht.
Hinweis: Ohne Kontakt E-Mail Adresse können wir das Schreiben leider nicht zeitnah
bearbeiten.
Wir bedauern, dass wir mit dieser Einschränkung reagieren mussten und hoffen,
lhnen mit diesen lnformationen weitergeholfen zu haben.
Wenn Sie Fragen zu unserem Anschreiben haben, schreiben Sie uns an abuse@telekom,de
und geben Sie dabei bitte lhre im Betreff genannte Zugangsnummer an, Wirsetzen uns
dann umgehend mit lhnen per E-Mail in Värbindung,
_______________________Brief 1 Ende

Schutzsoftware ist ja nun aktuell, daher habe ich nur alle Paßwörter geändert und die Telekom um Freischaltung gebeten. Daraufhin kam diese Mail:

_______________________Brief 2 Anfang
Sehr geehrte Frau Klindwort,

vielen Dank für Ihre Mitteilung. Wir haben die für Ihren Internetzugang gesetzte Mailversandbeschränkung wieder aufgehoben. Die Freischaltung wird spätestens 15 Minuten nach dem Versand dieser E-Mail in unseren Systemen geschaltet. Damit diese Änderung auf Ihrer Seite wirksam wird, müssen Sie Ihre Internetverbindung einmal trennen und erneut aufbauen.
(Konsultieren Sie hierzu ggf. das Handbuch Ihres Routers.)


Was ist passiert?
-----------------

Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein Server, der als Falle für durch Schadsoftware befallene Rechner dient, indem er einen Command&Control-Server eines Botnets simuliert. Ein Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter Botnetze finden Sie bei Interesse eine gute Erklärung der Struktur eines Botnets sowie eine schematische Darstellung.

Bei diesen beschwerdegegenständlichen Zugriffen handelt es sich nicht um den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports 80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam versenden, usw.

Diesen Beschwerden zufolge befindet sich in Ihrem LAN mindestens ein mit der Schadsoftware 'Matsnu' verseuchter Rechner. Dieser Schädling kontaktiert nach der Infektion einen Command&Control-Server, von dem er dann Kommandos entgegennimmt und ausführt. Für gewöhnlich gelangt dieser Trojaner auf den Rechner, nachdem man den Anhang einer betrügerischen E-Mail geöffnet und gestartet hat. Es sind aber auch Fälle bekannt, in denen er über einen sogenannten Drive-by-Download verbreitet wurde.
(Siehe hxxp://de.wikipedia.org/wiki/Drive-by-Download) Dies lässt den Einsatz eines nicht aktuellen Browsers auf einem Ihrer Rechner vermuten.
Es ist wahrscheinlich, dass dieser Schädling weitere Schadsoftware auf Ihrem Rechner installiert hat.

Infos hierzu:
Trojan:Win32/Matsnu
(Unter 'Technical Information' finden Sie eine genauere Beschreibung, leider nur auf Englisch.)

Für weitere Recherchen: https://www.google.de/search?q=Matsnu

Zudem wurden über Ihren Zugang mittels direkter Einlieferung auf dem jeweils zuständigen Mailserver sogenannte "Spamtraps" - das sind Fallen für infizierte Rechner und Spammer - per E-Mail angeschrieben. Aus den in den Beschwerden enthaltenen Daten (IP-Adresse und exakter Zeitpunkt) haben wir Ihren Zugang als Verursacher ermittelt.

Wichtig: Die Spam-Mails wurden NICHT mit einem herkömmlichen E-Mail- Programm versendet und haben auch nichts mit ihrem Postfach oder ihrer t-online.de-E-Mail-Adresse oder anderswo zu tun, die Zustellung erfolgte vielmehr direkt über die Internet-Verbindung an den für die Domain zuständigen Mailserver (MX).

Die Beschwerden erreichten uns über renommierte Anti-Spam-Organisationen und betreffen die folgenden Kombinationen von jeweils Ihrem Zugang zugewiesenen IP-Adressen und Zeitpunkten:

| 79.213.32.39 Fr, 13.11.2015 19:18:11 MEZ
| 79.213.23.43 Sa, 14.11.2015 07:33:23 MEZ Ermahnung
| 79.213.8.99 So, 15.11.2015 09:52:16 MEZ
| 79.213.37.243 Mo, 16.11.2015 17:46:09 MEZ
| 79.213.4.15 Di, 17.11.2015 09:10:34 MEZ
| 79.213.25.224 Do, 19.11.2015 18:37:49 MEZ
| 79.213.46.183 Fr, 20.11.2015 10:12:28 MEZ
| 79.213.24.99 Sa, 21.11.2015 10:02:05 MEZ
| 79.213.24.99 Sa, 21.11.2015 15:28:51 MEZ Portsperre: extern
| 79.213.24.99 Sa, 21.11.2015 15:40:51 MEZ
| 79.213.11.219 So, 22.11.2015 14:22:38 MEZ


Welche Gefahr besteht?
----------------------

Da ausgeschlossen werden kann, dass Spamtraps absichtlich angeschrieben werden, ist davon auszugehen, dass sich auf einem Rechner Ihres lokalen Netzwerkes eine bisher unentdeckte Schadsoftware befindet.

Die Steuerung der Bots erfolgt meist über die Ports 80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese Ports gesperrt sind. Per
HTTP(S) aktualisieren sich die Bots, liefern gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: Passwörter stehlen, an DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam versenden, usw.


Was ist die Mailversandbeschränkung?
------------------------------------

Die Mailversandbeschränkung besteht lediglich darin, dass der Port 25 in fremde Netze gesperrt ist. Dieser Port ist nur für die Zustellung von Mailserver zu Mailserver erforderlich. Die für die Endnutzer vorgesehenen Postausgangsserver benötigen diesen Port nicht. Das heißt, wir können mittels der Mailversandbeschränkung eine Schadsoftware ausschließlich daran hindern, Spam von Rechnern aus direkt an fremde Mailsysteme zuzustellen. Alles andere, wozu diese Schadsoftware entworfen sein mag, entzieht sich unserem Einfluss.


Mögliche Ursache: Fremdnutzung des lokalen Netzwerks
----------------------------------------------------

Beziehen Sie bei Ihren Überlegungen mit ein, dass das Problem durch einen Dritten verursacht worden sein könnte: Wenn zu dem jeweils genannten Zeitpunkt ein Gast berechtigten Zugang zu Ihrem WLAN/LAN (und damit Ihrem Internetzugang) hatte, kann es natürlich sein, dass die Aktion die zu der Beschwerde führte, von seinem Rechner ausging. Eltern sollten hierbei insbesondere auch etwaigen Besuch der Kinder "auf dem Radar" haben.

Besonders wenn der Zugang von einer Firma benutzt wird, kalkulieren
Sie bitte auch etwaige mitgebrachte Rechner von Mitarbeitern oder
gar Kunden ein. Auch Rechner von Mitarbeitern, die über ein VPN in
Ihr lokales Netzwerk gelangen, könnten die Beschwerden verursachen.

Oder Sie betreiben ein WLAN und dieses ist womöglich nicht oder nur unzureichend gesichert. Ein offenes WLAN kann durch Nachbarn auch völlig unabsichtlich mitbenutzt werden, da sich Windows gern das nächstbeste WLAN "greift", zu dem es eine Verbindung aufbauen kann. Es ist erforder- lich, das WLAN mindestens mit dem Verschlüsselungsverfahren WPA, besser WPA2, zu sichern (WEP ist unsicher!). Auch der Zugang zur Router- konfiguration muss mit einem Passwort gesichert werden.

Bitte nicht vorschnell abwehren, dass dies nicht sein könne, etwa
weil Sie genau wüssten, dass Sie das Funknetz bestens abgesichert
hätten. Das glaubten wir Ihnen durchaus, aber auch WLAN-Router sind
letztlich nur dumme, fehlerbehaftete Maschinen, die gelegentlich
abstürzen, sich aufhängen oder einen plötzlichen Neustart hinlegen.
Im letzteren Fall kann es passieren, dass die Werkseinstellungen
geladen werden und zumindest bei älteren Modellen wird das WLAN dann
"offen" betrieben. Da auch die meisten Betriebssysteme nach dem
Motto "Hauptsache, es funktioniert" äußerst benutzerfreundlich
agieren, nehmen diese die unverschlüsselte Verbindung ohne zu Murren
(also ohne Hinweis an den Benutzer) an.

Andere geben an, kein WLAN zu benutzen und diese Funktion auch
explizit in Ihrem WLAN-fähigen Endgerät deaktiviert zu haben.
Schauen Sie dennoch besser einmal nach. Viele WLAN-DSL-Router haben
am Gehäuse einen Taster, mit dem man das WLAN ein- und ausschalten
kann. Insbesondere kann man es versehentlich einschalten. Wenn man
das WLAN nicht eingerichtet hat, weil man es selbst nicht benötigt,
dann ist es zumindest bei älteren Geräten automatisch "offen", also
für jedermann in Funkreichweite nutzbar.


Allgemeine Ratschläge zur Bereinigung des befallenen Rechners
-------------------------------------------------------------

Zuallererst müssen die Schädlinge entfernt werden. Um die Chance zu erhöhen, auch weniger verbreitete Manipulationen zu finden, empfehlen wir einige kostenlose Anwendungen. Diese müssen zwar nicht alle verwendet werden, man sollte jedoch fortfahren, bis das Problem gefunden und beseitigt wurde. Dabei muss man beachten, dass einige Schädlinge den Aufruf und Download sicherheitsrelevanter Seiten und Tools aktiv blockieren können, so dass der Download dann von einem anderen Rechner aus, nötigenfalls bei einem Bekannten, erfolgen sollte.

Zusätzlich zu üblichen Virenscannern kann auch das 'Tool zum Entfernen bösartiger Software' von Microsoft geladen und ausgeführt werden. Unter Free Malware Removal Tool | Anti-Malware Scan Software
bietet Microsoft diese Software zum Download an.

Deutschsprachig und auch recht einfach in der Anwendung sind die beiden Varianten des EU-Cleaner, die unter https://www.botfrei.de zu finden sind. Wichtig: Bitte unbedingt die Hinweise zu den Anwendungen auf der Seite lesen und vor der Benutzung auch die Anleitung herunterladen!

Zum Einsatz auf bereits infizierten Systemen sind auch die folgenden beiden Anwendungen besonders geeignet:

Malwarebytes Anti-Malware (Free Version) hxxp://de.malwarebytes.org/
Wichtig: Da Malwarebytes auch einen Virenwächter installiert, der dem Virenwächter einer bereits installierten Schutzsoftware ins Gehege kommen könnte, sollte das Programm nach der Bereinigung deinstalliert werden!

Ein ausgewiesener Spezialist ist das kostenlos erhältliche 'Kaspersky Virus Removal Tool', da es keinen Virenschutz zur Verfügung stellt, sondern als Reinigungs- und Rettungssoftware fungiert. Zu finden ist dieses unter Latest Versions | Virus Removal Tool | Kaspersky Lab
(bitte wählen Sie dort die deutsche Sprachversion).

Sobald sich eine Schadsoftware auf einem Rechner 'eingenistet' hat und diesen quasi 'beherrscht', hängt es jedoch mehr oder weniger nur noch vom Geschick des Programmierers ab, ob eine ihm bekannte Schutzsoftware seine Manipulationen überhaupt noch entdecken kann. Ganz besonders gilt dies für sogenannte Boot- bzw. Rootkits, die sich selbst und weitere Schadprogramme für das System 'unsichtbar' machen.

Das Mittel der Wahl wären dann Boot-CDs bzw. Boot-DVDs, mit denen man den Rechner untersuchen kann, ohne dass das infizierte Betriebsystem gestartet wird. Diese Möglichkeit bietet z.B. Avira mit der 'DE-Cleaner Rettungssystem DVD', die unter https://www.botfrei.de/rescuecd.html zum Download bereitgestellt wird. Wichtig: Bitte die Hinweise dort beachten und auch die Anleitungen herunterladen!

Leider besteht jedoch nie die Gewissheit, wirklich alle Manipulationen gefunden zu haben, so dass das System womöglich nach kurzer Zeit erneut befallen wäre. Guten Gewissens können wir deshalb nur die vollständige Neu-Installation des Betriebssystems empfehlen. Wichtige Informationen und Anleitungen, die bei einer Neu-Installation beachtet werden sollten, bietet Botfrei.de unter: https://www.botfrei.de/neuinstallation.html

Wenn Sie Ihr Sicherheitsproblem nicht selbst lösen können, raten wir Ihnen, einen Experten bzw. eine Computerwerkstatt hinzuzuziehen.


Vermeidung einer sofortigen, erneuten Infektion
-----------------------------------------------

Damit die Schädlinge nach der Bereinigung nicht wieder auftauchen, müssen Sie danach alle (!) Updates für das Betriebssystem und für die von Ihnen benutzten Anwendungen einspielen und zwar BEVOR Sie auch nur ein einziges Dokument (Insbesondere PDF-Dateien, aber auch Bilder und
Videos) öffnen oder auch nur einen einzigen USB-Datenträger daran anschließen. Das ist nämlich auch ein üblicher Verbreitungsweg. Nicht nur externe Festplatten und Speichersticks kommen in Frage, sondern auch Digitalkameras und MP3-Player bzw. einfach jedes USB-Gerät mit beschreibbaren Speicher. Denn erst mit dem Windows-Update Mitte Februar
2011 hat Microsoft diesen Weg insofern erschwert, dass der Autostart für USB-Datenträger deaktiviert wurde.

Es wäre wirklich frustrierend, wenn man beispielsweise den Rechner in stundenlanger Arbeit neu aufsetzt und wie zuvor einrichtet, nur um dann feststellen zu müssen, dass man sich die Urlaubsfotos besser erst nach dem Neustart nach den letzten Update angeschaut hätte ...

Da der Internet Explorer auch Betriebssystemsdienste zur Verfügung stellt, sollte er auch dann aktualisiert werden, wenn er nicht zum Browsen im Web benutzt wird.


Eine kleine FAQ zum Thema 'Schutzsoftware'
------------------------------------------

Meine Antiviren-Software hat keine Bedrohung gemeldet?

Gängige Antiviren-Software erkennt mittels herkömmlicher Methoden (Signaturen und Heuristik) allenfalls noch 40-60% der aktuellen Bedrohungen. Die Erkennungsraten werden durch weitere Methoden
- insbesondere dem 'Behavioral Blocking' und Reputationsdatenbanken - verbessert, allerdings verfügt meist nur kostenpflichtige Schutzsoftware über diese erweiterten Methoden.

Natürlich sollten die generellen Sicherheitshinweise beachtet werden, also Popups, HTML in E-Mails, Java, Adobe Flash etc. bestenfalls deaktivieren und nur für vertrauenswürdige Inhalte aktivieren und niemals Inhalte (Software, Filme, Dokumente usw.) aus nicht vertrauenswürdigen Quellen verwenden.

Woher weiß ich, ob meine Software aktuell ist?

Nicht jedes Programm auf Ihrem PC hat eine automatische Update-Funktion.
In diesem Zusammenhang möchten wir Ihnen empfehlen, sich die für Privatanwender kostenlose Software 'Secunia Personal Software Inspector'
(Secunia PSI) anzuschauen: Sie scannt Ihre Festplatte und vergleicht die Versionsnummern mit einer stets aktuellen Datenbank mehrerer tausend Anwendungen. Die Software zeigt Ihnen den direkten Downloadlink gleich mit an und unterstützt teilweise automatische Updates. Sie finden dieses hilfreiche Werkzeug unter:
Free security software - Secunia Personal Software Inspector

Ist es möglich Infektionen generell zu verhindern?

Durch Zusatzsoftware kann man Rechner so konfigurieren, dass der Anwender quasi in einem sicheren Bereich abgeschottet wird und Änderungen dort nach Benutzung einfach gelöscht werden können. Für Windows bietet diese Funktion bspw. das Programm 'Sandboxie':
hxxp://de.wikipedia.org/wiki/Sandboxie

Wo finde ich weitere Informationen?

Neben unseren eigenen und zahlreichen fremden Angeboten ist das Bürger-CERT des Bundesamtes für Sicherheit in der Informationstechnik sicherlich die beste Anlaufstelle. Das Bürger-CERT informiert und warnt Bürger und kleine Unternehmen schnell und kompetent vor Viren, Würmern und Sicherheitslücken in Computeranwendungen – kostenfrei und absolut neutral. Experten analysieren rund um die Uhr die Sicherheitslage im Internet und verschicken bei Handlungsbedarf aktuelle Warnmeldungen und
Sicherheitshinweise: hxxp://www.buerger-cert.de


Nachsorge: Zur Vermeidung weiterer Schäden alle Passwörter ändern
------------------------------------------------------------------

Nachdem Sie Ihre(n) Rechner bereinigt haben, kann weiterer Schaden durch den Missbrauch bereits gestohlener Zugangsdaten entstehen. Daher raten wir Ihnen, *alle* Passwörter zu ändern, vergessen Sie dabei nicht etwaige Passwörter für Onlinebanking, eBay, Amazon & Co., falls Sie solche Dienste nutzen. (Wichtig: Dies darf nur von einem Rechner aus erfolgen, der garantiert "sauber" ist, sonst landen die neuen Passwörter gleich wieder bei einem der Angreifer!)

Zu den mit unseren Diensten benötigten Passwörtern einige gesonderte Anmerkungen und Tipps:

Ändern Sie bitte alle Passwörter im Kundencenter unter dem URL https://kundencenter.telekom.de/kundencenter/kundendaten/passwoerter

das 'persönliches Kennwort' (für den Zugang),
das 'Passwort' (für Webdienste),
das 'E-Mail-Passwort' und
das 'FTP-Passwort' (falls eingerichtet)

Hinweis: Das persönliche Kennwort ist das Hauptpasswort. Damit können Sie sich im E-Mail Center, Kundencenter etc. anmelden, auch wenn dafür ein anderes Passwort eingerichtet wurde!

Das neue persönliche Kennwort tragen Sie nach der Änderung bitte auch für den Internetzugang z. B. im Router ein:

Vergisst man, das pers. Kennwort rechtzeitig in den Router
einzutragen, würde dieser sich wiederholt mit dem nicht mehr
gültigen Kennwort einwählen, was zu einer automat. Schutzsperre bis
24 Uhr führen würde. Um dies zu vermeiden, gehen Sie bitte wie
folgt vor:

Das neue pers. Kennwort sollte genau acht Zeichen umfassen. Mehr
sind nicht möglich und weniger mindern die Sicherheit. Wir
empfehlen jeweils mindestens einen Groß- und Kleinbuchstaben,
eine Ziffer und ein Sonderzeichen zu verwenden. (Die erlaubten
Sonderzeichen werden bei der Kennwortänderung angezeigt.)

Nach Änderung des pers. Kennworts (Bestätigung im Kundencenter):

Sofern ein Speedport der Telekom verwendet wird und 'Easy Support'
aktiviert ist, wird Ihnen jetzt angeboten, das neue Kennwort
automatisch in den Router zu übernehmen. Ist 'Easy Support' nicht
aktiviert oder schlägt die automatische Übernahme fehl, rufen Sie
bitte die Konfiguration des Speedports auf und klicken dort auf der
Startseite auf die Schaltfläche [Internet sperren]. Ändern Sie dann
das persönliche Kennwort im Speedport und geben die Verbindung ins
Internet wieder frei.

Sollte kein Speedport verwendet werden, sollten Sie das Kabel vom
Router zum DSL-Anschluss abstecken und anschließend das Kennwort
auch im Router ändern. Erst danach stecken Sie das Kabel bitte
wieder ein.

Die anderen Passwörter können jeweils acht bis 16 Zeichen umfassen. Es sollten unterschiedliche Passwörter mit Groß- und Kleinschreibung, Zahlen und Sonderzeichen verwendet werden. Achtung: Die geänderten Passwörter müssen auch in den entsprechenden Anwendungen eintragen werden. Beispielsweise muss das 'E-Mail-Passwort' in fast allen E-Mail-Programmen zweimal geändert werden, nämlich sowohl für den
Posteingangs- und auch den Postausgangsserver.

Mit freundlichen Grüßen
Hagen Busch

Deutsche Telekom AG
SEC-CDM / Abuse Team
T-Online-Allee 1
D-64295 Darmstadt
E-Mail: abuse@telekom.de

t-online.de
LTE, DSL, VDSL, DSL Tarife, Festnetz Tarife | Telekom

Erleben, was verbindet.

Die gesetzlichen Pflichtangaben finden Sie unter:
Deutsche Telekom: Pflichtangaben

Große Veränderungen fangen klein an - Ressourcen schonen und nicht jede E-Mail drucken.

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet.
__________________________Brief 2 Ende

Ich bekomme seit ca. 5-7 Tagen vermehrt Spammails (ca.5-10 am Tag)
Hat das beide nun (noch) was mit dem Befall von letzter Woche zu tun und muß ich noch was machen?
LG

Das steht alles so in dem Brief? :D

Ach was...:lach: Ist natürlich Unsinn. MBAM harmoniert prima mit anderen AVP. Die Ausnahmen würde ich dann sowieso deinstallieren. :rolleyes:

Spammails haben nichts mit einer lokalen Computerinfektion zu tun. Es reicht aus, Deine Emailadresse zu kennen.

War ja alles vor dem Ende der Bereinigung. Als ich mich mit Teamviewer ausgeloggt habe, war der PC sauber. Da kann die "Drosselkom" schreiben was sie will.

Auch wenn das schon eine ganze Weile her ist, danke nochmal für die Antwort.

Gerne. :)