Merkwürdige Anrufe auf s Handy - Datenklau vermutet - Virus auf PC?
 

Hallo zusammen

Ich bekomme seit einigen Wochen Anrufe von Ärzten. Bei diesen hat jemand in meinem Namen, mit meinen Daten (Geburtstag, Name, ...) in der Praxis angerufen und um dringenden Rückruf von eiem Arzt gebeten. Die Rückrufe kommen dann natürlich direkt zu mir auf mein Handy.

Was das soll weiß ich nicht, vielleicht ist es jemand aus meiner Vergangenheit, der sich einen Spaß erlaubt, oder ein Psycho, oder eben jemand, der die Kontrolle über meinen PC übernommen hat. Da mich das sehr besorgt ist auch die Polizei bereits informiert, aber außer einem Aktenvermerk für eventuelle weitere Vorkommnisse kann man da soweit erstmal nichts machen.

Nun wollte ich mal fragen, ob einer hier schonmal sowas gehört hat oder generell einfach mal die Daten überprüfen kann. Ich kenne mich null aus, früher habe ich Hijackthis benutzt, aber das ist ja nicht mehr "up to date".

Jetzt versuche ich also fürs erste Mal diesen Beitrag hier nach den Regeln zu gestalten und hoffe auf Unterstützung von euch.

Herzlichen Dank, Romy

1.Führe AdwCleaner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

2.Malwarebytes' AntiMalware (MBAM) gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

3.ESET Online Scanner gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

ADWCleaner Logdatei
 

Also, hier erstmal die Logdatei (hoffentlich die richtige, nach der Bereinigung?) von ADWCleaner...

Die Logs sind schon mal richtig:daumenhoc
Da hast Du Dir ja einiges an PUPs eingefangen. Ich vermute hauptsächlich bei Chip.de. Da lädt man aber auch nichts herunter, das sollte sich mittlerweile aber herumgesprochen haben.
Auch Avast ils Antivirenprogramm ist nicht die erste Wahl. In Zeiten eines gut laufenden Windows-Defenders sollte dieser ausreichend sein. Also lösche bitte den Müll.
Ansonsten warte ich noch auf das Log von Eset.

Vielen Dank dir schon mal, werde ich beherzigen.
ESET läuft noch, dauert glaub ich noch nen moment, stell es dann rein.

Danke :dankeschoen:

So, ungünstigerweise hat mein Sohn den ersten Durchlauf beendet, da hatte das Program aber gut was gefunden. Bei diesem Durchlauf war dann nichts mehr zu sehen...

Dann schaue mal, ob Du noch irgendwelche Logs findest. So etwas sollte im Sinne eine sauberen Bereinigung und eventueller Nachweisführung zu Deinem Problem nicht passieren.

So, hier noch das Ergebnis vom ESET

08:52:27 # product=EOS
# version=8
# ESETOnlineScanner_DEU.exe=3.2.6.0
# country="Germany"
# lang=1031
08:53:31 Updating
08:53:31 Update Init
08:53:32 Update Download
08:55:35 esets_scanner_reload returned 0
08:55:35 g_uiModuleBuild: 45601
08:55:35 Update Finalize
08:55:35 Call m_esets_charon_send
08:55:35 Call m_esets_charon_destroy
08:55:35 Updated modules version: 45601
08:55:46 Call m_esets_charon_setup_create
08:55:46 Call m_esets_charon_create
08:55:46 m_esets_charon_create OK
08:55:46 Call m_esets_charon_start_send_thread
08:55:46 Call m_esets_charon_setup_set
08:55:46 m_esets_charon_setup_set OK
08:55:46 Scanner engine: 45601
10:49:42 # product=EOS
# version=8
# ESETOnlineScanner_DEU.exe=3.3.4.0
# country="Germany"
# lang=1031
10:50:25 Updating
10:50:25 Update Init
10:50:36 Update Download
10:50:37 g_uiModuleBuild: 45601
10:50:37 Update Finalize
10:50:37 Call m_esets_charon_send
10:50:37 Call m_esets_charon_destroy
10:50:38 Updated modules version: 45601
10:50:52 Call m_esets_charon_setup_create
10:50:52 Call m_esets_charon_create
10:50:52 m_esets_charon_create OK
10:50:52 Call m_esets_charon_start_send_thread
10:50:52 Call m_esets_charon_setup_set
10:50:52 m_esets_charon_setup_set OK
10:50:52 Scanner engine: 45601
11:42:54 # product=EOS
# version=8
# flags=0
# av=0
# fw=7
# admin=1
# ESETOnlineScanner_DEU.exe=3.3.4.0
# EOSSerial=4162327e76a60746b8a06fbfb9726806
# engine=45601
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# sfx_checked=true
# utc_time=2020-05-29 09:42:54
# local_time=2020-05-29 11:42:54 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=10.0.18362 NT
# compatibility_mode_1='Avast Antivirus'
# compatibility_mode=819 16777213 83 92 11675 20298908 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 88 6690252 37778337 0 0
# scanned=467653
# found=0
# cleaned=0
# scan_time=2870
# scan_type=2
# flow=2020-05-29 10:50:00|scr|scan_type|2020-05-29 10:50:04|promo|eis|2020-05-29 10:50:06|scr|pua|2020-05-29 10:50:12|scr|updating|2020-05-29 10:50:38|scr|scanning|2020-05-29 11:38:29|scr|no_threats
# periodic=0,0
# test=2E_test
# stats_enabled=1
11:42:55 Call m_esets_charon_send
11:42:55 Call m_esets_charon_destroy
21:32:43 # product=EOS
# version=8
# ESETOnlineScanner_DEU.exe=3.3.4.0
# country="Germany"
# lang=1031
21:33:25 # product=EOS
# version=8
# flags=0
# av=0
# fw=7
# admin=0
# ESETOnlineScanner_DEU.exe=3.3.4.0
# EOSSerial=4162327e76a60746b8a06fbfb9726806
# engine=0
# end=finished
# bannerClicked=0
# remove_checked=false
# archives_checked=false
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=false
# sfx_checked=false
# utc_time=2020-05-29 19:33:25
# local_time=2020-05-29 21:33:25 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=10.0.18362 NT
# compatibility_mode_1='Avast Antivirus'
# compatibility_mode=819 16777213 83 92 47106 20334339 0 0
# compatibility_mode_1=''
# compatibility_mode=5893 16776574 100 88 6725683 37813768 0 0
# scanned=0
# found=0
# cleaned=0
# scan_time=0
# scan_type=123175936
# flow=2020-05-29 21:32:42|scr|home|2020-05-29 21:32:46|promo|ems|2020-05-29 21:32:53|scr|about|2020-05-29 21:33:00|scr|h_quarantine|2020-05-29 21:33:20|click|restore_now|2020-05-29 21:33:20|scr|quarantine
# periodic=0,0
# test=default
# stats_enabled=1
21:33:26 Call m_esets_charon_send
21:33:26 Call m_esets_charon_destroy
21:33:38 # product=EOS
# version=8
# ESETOnlineScanner_DEU.exe=3.3.4.0
# country="Germany"
# lang=1031
21:34:09 Updating
21:34:09 Update Init
21:34:20 Update Download
21:34:46 esets_scanner_reload returned 0
21:34:46 g_uiModuleBuild: 45609
21:34:46 Update Finalize
21:34:46 Call m_esets_charon_send
21:34:46 Call m_esets_charon_destroy
21:34:47 Updated modules version: 45609
21:34:58 Call m_esets_charon_setup_create
21:34:58 Call m_esets_charon_create
21:34:58 m_esets_charon_create OK
21:34:58 Call m_esets_charon_start_send_thread
21:34:58 Call m_esets_charon_setup_set
21:34:58 m_esets_charon_setup_set OK
21:34:58 Scanner engine: 45609

Führe RFST erneut aus und poste mir die beiden Log-Dateien.
Hast Du über die Systemsteuerung Avast schon entfernt?

Ja, Avast ist runter.
Was ist rfst?? :headbang::confused:

Edit: Vllt. FRST? Ich hab es mal nochmal ausgeführt und die Logs angehängt..

[/CODE]

Addition
 

Du hast TeamViewer installiert. Hat das einen Grund?
Könnte es sein, dass Du jemandem Zugriff gewährt hast?
Ansonsten ist das ein legales Fernwartungsprogramm, welches auch von Firmen genutzt wird.

TeamViewer brauche ich immer mal wieder für verschiedene Sachen, aber ich bin mir relativ sicher, dass ich dort niemandem Zugriff gewährt habe - bzw. nicht in letzter Zeit und niemand unbekanntem...

Ok, das ist komisch. Ich habe mir das Program "Who stalks my cam" runter geladen... jetzt zeigt mir das an:

Capture Active - host process: svchost.exe - parent host: services.exe

Der Name ist der, meines Druckers (HP04EC45) - hast du da Erfahrung damit?? Verunsichert mich gerade etwas...

Hab gerade etwas hier recherchiert, ich lösch das Program wieder.. Scheint ja nicht auf viel Anklang zu stoßen...

Mal bitte Emsisoft Emergency Kit gemäß der bebilderten Anleitung aus und poste abschließend die Logdatei.

Du musst Dir aber auch nicht jeden sinnlosen Müll installieren. Möchte nicht wissen welche PUPs Du Dir da wieder eingefangen hast:rolleyes:
Du solltest mal generell Dein Verhalten im WWW überdenken.
Deinstalliere bitte über die Systemsteuerung->Apps den CCleaner.

ungern :lach: da halte ich ja eigentlich große stücke drauf! ;) aber gut, wenns sein muss...

danke für deine hilfe!

Sagt Dir diese installierte Software: cesasile etwas?

nee, kenn ich nicht..

Sehe mal nach, ob die Software über Systemsteurerung->Apps deinstallierbar ist.

Nein, leider nix zu finden..

Bitte nochmals MBAM und ADWcleaner laufen lassen und die Logs posten.

Den ADWscanner bitte nochmals im Modus clean.

Warum postest Du nicht das komplette Log? Langsam komme ich mir hier komisch vor. Während der Säuberung installierst Du irgendeinen Schwachsinn, Dein Sohn bricht Scanns einfach ab:pfui:

Entschuldigung, ich hab die ersten 3 zeilen vergessen. Mein Sohn ist 4, da kanns mal passieren, dass ein Kind ein Notebook zuklappt und ich habe seit Tagen kein neues Program installiert.

Aber wenn du keine Lust mehr hast, lass gut sein... Hab dir ja schon viel Zeit geraubt, danke für deine Hilfe.

Sry, ADW ist schon wieder im falschen Modus ausgeführt worden.
Hier noch mal die bebilderten Anleitung.

Diese Aussage stimmt so nicht:

Da steht doch nirgends, dass ich das Programm erst jetzt runtergeladen habe. :daumenrunter:

:heilig:

Servus romyleinchen,



ich übernehme ab hier.
Wie läuft der Rechner aktuell? Welche Probleme gibt es aktuell noch, die auf Schadsoftware hindeuten?

Führe die folgenden Schritte aus und poste die dazugehörigen Logdateien.







Schritt 1

• Schließe alle offenen Programme und Internet Browser, damit keine Daten verloren gehen.
• Kopiere den gesamten Inhalt der folgenden Code-Box:
  
  Code:

  ---

  Start::
CloseProcesses:
C:\ProgramData\{F0633500-7A21-BFC6-FCE7-218466A5AA4A}
ExportKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{77FCF397-C953-4995-A6D0-5B4515DCC281}
DeleteKey: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{77FCF397-C953-4995-A6D0-5B4515DCC281}
DeleteKey: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{9b09d6bb-5f62-48d2-8cca-6357df9b6007}
Reboot:
End::

  ---

• Starte nun FRST und klicke direkt den Reparieren Button.
  Wichtig: Du brauchst den Inhalt der Code-Box nirgends einfügen, da sich FRST den Code aus der Zwischenablage holt!
• Das Tool führt die gewünschten Schritte aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich FRST befindet.
• Gegebenenfalls muss dein Rechner neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt 2

• Starte FRST erneut. Kopiere den Inhalt der folgenden Code-Box oben in das Suchfeld:
  
  Code:

  ---

  SearchAll: {F0633500-7A21-BFC6-FCE7-218466A5AA4A};Vondos;Lavasoft;Web Companion;WebCompanion;Offers Olymp;OffersOlymp;DESKTOPICONAMAZON;chip1click;Yahoo! Powered

  ---

• Klicke auf den Button Datei-Suche.
• FRST beginnt mit dem Suchlauf. Dieser kann einige Zeit dauern, bitte gedulde dich!
• Am Ende wird eine Textdatei Search.txt erstellt.
• Poste mir deren Inhalt mit deiner nächsten Antwort.

Schritt 3

• Starte FRST erneut. Vergewissere dich, dass vor Addition.txt ein Haken gesetzt ist und drücke auf Untersuchen.
• FRST erstellt wieder zwei Logdateien (FRST.txt und Addition.txt).
• Poste mir beide Logdateien mit deiner nächsten Antwort.

Bitte poste mit deiner nächsten Antwort:

• die Beantwortung der gestellten Fragen
• die Logdatei des FRST-Fix (fixlog.txt)
• die Logdatei des FRST-Suchlaufs (Search.txt)
• die beiden neuen Logdateien von FRST (FRST.txt und Addition.txt)

zu Schritt 1