|
Phishing/Keylogger Steam account hacked Hallo, Nachdem ich zig Seiten und Threads zu dem Thema gelesen habe und diverse Programme zur Bereinigung über mein System laufen habe lassen um den keylogger loszuwerden, muss ich euren Rat aufsuchen. Schlaftrunken habe ich im steam chat, eine seite geöffnet. Habe einen Link hierzu der das Problem beschreibt, weis aber jetzt nicht ob ich ihn posten darf. Jetzt wurde auf jeden Fall mein steam account gehackt, und danach ein zweites mal nachdem ich ihn per steamsupport zurückerlangt habe. Problem: ich finde den keylogger nicht oder vielleicht nur phishing, ich weis es nicht. bereits verwendete Programme: Antivir, spyware dr., spybot, hijackthis, ccleaner aber nicht vernünftig, und avg 2011. mfg Tom |
hatten diese programme funde, wen ja welche? Systemscan mit OTL download otl: http://filepony.de/download-otl/ Doppelklick auf die OTL.exe (user von Windows 7 und Vista: Rechtsklick als Administrator ausführen) 1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output 2. Hake an "scan all users" 3. Unter "Extra Registry wähle: "Use Safelist" "LOP Check" "Purity Check" 4. Kopiere in die Textbox: netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL explorer.exe iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT 5. Klicke "Scan" 6. 2 reporte werden erstellt: OTL.Txt Extras.Txt beide posten |
Also, ums genauer zu sagen. hab im steam chat von nem freund ne seite geschickt bekommen die der echten steam seite ähnlich aussieht, und benebelt hab ich mich da einloggen wollen mit meinem account. also kurz danach war account weg, nachdem ich ihn mir wiedergeholt hab hab ich ne zeit ruhe gehabt dann war er wieder weg. hijackthis, hat irgendetwas gefunden und gelöscht, aber dennoch wurde 2tes mal gehackt. Des weiteren ist ein virus aufgetaucht und hat alle ordner unsichtbar gemacht, doch antivir hat ihn sofort erledigt. antivir hat eine male ware gefunden und gelöscht: 'C:\ProgramData\sFGtypQnwU.exe' enthielt einen Virus oder unerwünschtes Programm 'TR/FakeDefrag.A' [trojan]. AVG hat auch etwas gefunden und in quarantäne gepackt: Trojaner:SHeur2.SFA (in gothic 2 dndr) Virus gefunden: Win32/Heur beide male in age of empires 2 Win32/Heur sonst wurde nichts gefunden, außer dass halt hijackthis und ccleaner bisschen freiraum geschaffen haben ergebnisse von OTL: hoffe das ist nicht zuviel text etc. wenns hilft kann ich den link hochladen der genau zeigt wie ich ihn mir eingefangen habe mfg Tom |
doppel Post entschuldigung aber ich krieg den zweiten anhang nicht hoch, da er zu groß ist. werde also nochn post nach diesem machen und ihn aufteilen |
dreifach: :pfui: Malewarebytes fertig mit scannen ergebniss: 8 infektionen siehe anhang |
hijackthis kann nichts selbst löschen? was hast du mit hijackthis gelöscht? open misk tools sektion, dort backup. und, merkwürdige freunde haben manche, die einem die accounts klauen, du solltest vllt dir die definition dieses wortes noch mal ansehen :d aber das nur am rande... |
Hat OTL denn was gefunden? Ich glaube auch mein Freund wurde gehackt und hat mir deswegen das geschickt. Ging nicht von ihm selbst aus. toolbar: icqtoolbar (1) Toolbar: DVDVideoSoftTB Toolbar (2) URLSearchHook: (1) " " : (2) " " : (no name) (no file) " " : (no name) (no file) " " : (no name) HKLM\...\Run: [recinfo504] c:\RecInfo\RecInfo.exe (das kommt mir vor allem suspect vor da ich ich bereits schon 2-3 mal gelöscht habe) |
nein noch nichts. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
Ich weis das ist jetzt ne dumme frage aber alle programme schlagen aus und bezeichnen combofix als schädlich. Soll ich trotzdem fortfahren? (würde es von deiner vorgeschöagenen seite laden) außerdem müsste ich AVG deinstallieren was ich nicht umbedingt will |
Entschuldigung fürn doppel post aber edit klappt nicht anbei die combofix log Edit: ich trottl hab vergessen das auf desktop zu haun. Was jetzt? |
lass es da wo es ist. du hast malwarebytes genutzt, öffne es poste alle logs. |
Kann ich dann combofix später (nachdem alles erledigt ist deinstalliere, damit ich avg wieder drauf tun kann? Anbei malewarebytes logs: letzter war nur auf ne verdächtige datei angewendet |
nutze lieber avast, ist besser und braucht nicht so viel leistung. http://www.trojaner-board.de/110895-...antivirus.html http://www.trojaner-board.de/127580-...igurieren.html alle heuristiken auf hoch, updaten und dann nen botscan laufeen lassen welche datei war verdächtig und warum? |
den 2ten link kann ich nicht öffnen. avast ist ja nur temporär wirksam. nach 30 tagen läuft das aus, außer man registriert sich. ist das kostenpflichtig bzw gibt man da viele informationen her? HKLM\...\Run: [recinfo504] c:\RecInfo\RecInfo.exe war dis supekte datei. mehrmals mit hijackthis gefunden, doch jetzt nicht mehr |
der ist ok der eintrag. den avast link öffne mal mit nem andern browser. dann mal konfigurieren, falls es dann geht. Registrierung von avast! Free Antivirus aber man muss ja nicht unbedingt den richtigen namen angeben, aber ich kann dich beruhigen, diese firma ist seriös, also von daher. |
C:\Westwood\Internet\UninstAP.exe wurde als bedrohung gefunden. gefährdung hoch. aktion: in container verschoben Bedrohung: windows32: maleware-gen avast hab ich mir geladen und heuristik hoch eingestellt. den zweiten link kann ich dennoch nicht öffnen aber der ist ja auch nurn download link oder? |
das ist die konfiguration. bitte versuchs mal über nen andern browser. war das ein bot scan? kennst du die gefundene datei? |
warn vollständiger scan über 3+ stunden. gesamten pc überprüft. die gefundene datei kenn ich direkt nicht, hat aber soweit ich weis mit alarmstufe rot 2 C&C zu tun. auch mit anderen browser kann ich den link net öffnen bzw es kommt die fehlermeldung: "unerlaubter zugriff auf downloads, Sie haben versucht von einer fremden Webseite hier einen Download zu starten und dies wurde unterbunden oder Ihr Browser übermittelt keinen Referrer. In diesem Fall aktivieren Sie den Referrer in Ihrer Browserkonfiguration." |
hmm, dann versuchs später noch mal, eig müsste das gehen. ok, ich konnte nichts weiter feststellen, sind noch probleme aufgetreten? |
mhhh. Also hast du nichts weiter entdeckt. Hab jetzt steam wieder gestartet und läuft seit gestern ohne hack wieder. Wenn aber jetzt soweit feststellbar alles passt danke ich dir herzlich für die mühe. Falls wirklich etwas nicht stimmt sollte melde ich mich wieder. combofix kann ich dann deinstallen oder soll ichs lassen? (hab combofix nur die log erstellen werden, das heißt ich hab nichts damit gerichtet) |
öffne mal otl, klicke auf bereinigen, alle removal tools werden gelöscht. wir können, falls du willst, das system noch absichern. |
ok das mit dem absichern klingt gut. OTL hab ich durchgeführt |
okhttp://www.trojaner-board.de/96344-a...-rechners.html hier alles unter vista bzw win7 abarbeiten. eingeschrenktes konto nicht, updates scheinen auch auf automatisch zu stehen? dann alles unter allgemein. für den ff: als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-noscript// adblock+ um werbung zu blockieren: http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten fr Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe beschrenken, hier kannst du auch noscript und andere plugins eintragen. geht auch unter c:\windows\sandboxie.ini unter dem eintrag defauld box OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini bei Internetzugriff: firefox.exe und plugin-container.exe eintragen öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, firefox. direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen, mit klick auf sandboxed web browser anstelle des browser symbols |
ehm, grade als ich meinen Post getätigt habe und OTL bereinigt hat, kann ich mich erneut nicht einloggen, sprich, ich wurde anscheinend schon wieder gehackt, da ich auch nicht mit geheimantwort und verification code nen neues pw beantragen kann. (gleich nach dem reboot bzgl OTL bereinigung war ich wieder in steam offline). könnte das evtl am firewall liegen? hab nämlich nur den standart windows firelwall. (windows defender) |
der ist ausreichend. hmm dann setzen wir das system neu auf, nach datensicherung und sichern es danach gleich richtig ab. sichere also deine wichtigen daten. falls du nicht weist, wie man formatiert erkläre ichs dir. |
wär nett wenn dus mir erklären könntest. war bei mir bis jetzt noch nicht von nöten daher bin ich auf dem gebiet plank |
ok sichere erst mal deine daten. dann teile mir mit ob du ne recovery cd, recovery laufwerk oder windows cd nutzt. wenn die ersten beiden zutreffend sind, nenne mir den hersteller und typen des geräts |
sorry für die blöde frage aber wie sichern? alles schon mal auf ne CD speichern? bzw welche dateien sind den wichtig die gespeichert werden müssen (also standart datein) hab nur herkömmliche CD/DVD's hier. |
naja, deine bilder dokumente etc, nichts aus tauschbörsen. ne datensicherung sollte man haben, was würdest du machen wenn deine festplatte kaputt geht. daten von c: müssen runter |
Ok, das dachte ich mir schon, aber in wie fern soll ich sie sichern ohne viren etc. mitzuziehen. Reicht es wenn ich beispielsweise (vista) rechtsklick auf C: und dann sicherung erstellen und alles auf dvd? bzw. besteht nicht die gefahr das ich den keylogger o.ä. mitnehme? auch wenn ich einzelne wichtige daten rauspicke Edit: wäre scannen im abgesicherten modus und deaktiviern der systemwiederherstellung eine möglichkeit? Anbei die Infektionsquelle und wie es dazu kam. Wenns nicht passt lösche ich den link sofort wieder hxxp://www.gamersglobal.de/news/10534 |
nein du sollst nur die von dir benötigten daten wie dokumente sichern, programme etc werden nicht gesichert und später neu instaliert |
Ok ich hab die relevanten dateien auf USB sticks gespeichert. Bevor ich das System jedoch neu aufsetze probiere ich es ein letztes mal und hoffe das der keylogger unten ist. Als ich meine neuen daten eingegeben habe hat mein "Anti-keylogger" gemeldet dass "buildbot_winslave01_steam_rel_client_win32@winslave01" von Steam Game Overlay Renderer (GameOverlayRenderer.dll) eine aktion starten will und wurde geblockt |
das ist von steam. instaliere das system neu. die datei sollte sauber sein die da angemeckert wurde. |
So, es läuft eigentlich alles super, es scheint also als wäre das problem beseitigt. Wenn in ner Woche nix passiert ist sicher ich das system ab wie von dir vorgeschlagen. wenn was ist setzte ich es neu auf. Danke dir soweit für die Hilfe. mfc71u.dll hat mein anti keylogger geblockt, ein freund meinte das könnte ne "böse" datei sein (MFCDLL Shared Library- Retail Version [microsoft]) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:00 Uhr. |
Copyright ©2000-2024, Trojaner-Board