Facebook Hacker - immer wieder Zugriff, wie?

[the.expert]

Hey,
ich muss mich seit einigen Tagen mit einem seltsamen Hacker rumplagen.

Ich habe am 03.08. ein Zugriff auf meinem Facebook Account gesehen, der nicht aus meiner Stadt kommt und nicht von meinem OS.

Am 03.08. habe ich das Passwort meines mit Facebook verknüpften Mail Accounts geändert und das Passwort von Facebook.

Am 04.08. erneut Zugriff von dem Hacker.

WIE ist das möglich?

 

[Fehlermeldung]

Du hast wahrscheinlich einen Virus auf dem Rechner. Lass mal verschiedene Programme drüberlaufen.

 

[acidarchangel]

Trojaner, Virus, Phishing?
Hast du NoScript oder so laufen? Wenn du GoogleMaps oder so aufrufst, wird dir dein wirklicher Standort angezeigt, oder ein "falscher"?

 

[eLeSDe]

spontan:
- keylogger auf dem system
- du warst an einem öffentlichen rechner und hast dich nicht ausgelogged (bzw der ist infiziert)

btw: wieso sollte sich ein *hacker* für einen facebook account interessieren? oO

 

[the.expert]

spontan:
btw: wieso sollte sich ein *hacker* für einen facebook account interessieren? oO

Exakt das frage ich mich auch!

Vor allem, aus Deutschland und dann noch sowas von FRECH, als wenn er mir extra zeigen will, dass er sich immer noch einloggen kann.

Ich bin sicher, dass ich das nicht selber bin.
Das mit dem öffentlichen Rechner wo ich mich vergessen habe auszuloggen kann sein, und nun?

Hier mal ein editierter Log von Hijackthis, wo ich nicht genau weiß ob das etwas ausrichten kann:

Spoiler

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxWatchTray12OEM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [CanonSolutionMenuEx] C:\Program Files (x86)\Canon\Solution Menu EX\CNSEMAIN.EXE /logon
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-323073239-575049174-233867716-1006\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-323073239-575049174-233867716-1006\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 11\klwtbbho.dll
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 11\klwtbbho.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\vsocklib.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{556ABE2C-93A7-4D29-933A-7D3AE0F39F92}: NameServer = 80.67.0.2,91.213.246.2
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\Windows\SysWOW64\nvinit.dll, C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll, C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll
O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)
O23 - Service: Andrea RT Filters Service (AERTFilters) - Andrea Electronics Corporation - C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Wireless PAN DHCP Server (MyWiFiDHCPDNS) - Unknown owner - C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: RoxMediaDB12OEM - Sonic Solutions - C:\Program Files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxMediaDB12OEM.exe
O23 - Service: Roxio Hard Drive Watcher 12 (RoxWatch12) - Sonic Solutions - C:\Program Files (x86)\Common Files\Roxio Shared\OEM\12.0\SharedCOM\RoxWatch12OEM.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SoftThinks Agent Service (SftService) - SoftThinks SAS - C:\Program Files (x86)\AlienRespawn\sftservice.EXE
O23 - Service: Skype C2C Service - Skype Technologies S.A. - C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files (x86)\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

 

[messy]

hatte ich auch vor einigen tagen, eingelogged wurde sich aus dem asiatischen raum.
passwort geändert, fertig.
zur zeit ist ruhe.
hatte noch nie einen virus oder backdoor aufm rechner, daher gehe ich mal von einer fehlermeldung oder einem fremden einlog versuch ohne "hacker" hintergedanken aus. so wichtig bin ich dann nu auch nicht.
messy

 

[Sir_Sascha]

hast du ein SmartPhone? Vielleicht war dieses dann auf FB.
Ansonsten: Von einem definitiv sauberen Rechner aus, die Paswörter ändern und dann mal deinen Rechner richtig scannen. Am Besten wäre eine Boot-CD eines Antivirenherstellers. Die bekommt man kostenlos mit aktuellen Signaturen.

 

[the.expert]

Ja, jedoch war ich mit dem Smartphone nur über die App im Facebook. Dies auch in den letzten Tagen und nicht nur Samstag. Auch wird bei Facebook gesagt, dass mobile Zugriffe nicht darunter gezählt werden. Die App von Nokia (Symbian^3) wird auch sicherlich nicht einfach als "Opera via Linux" Browser/OS-Kombi fehltinterpretiert.

Auf Phishing falle ich nicht herein. Diese Art ist ausgeschlossen.

Aktueller Schnellscan von Malewarebytes besagt, dass mein System sauber ist. Ich habe auch immer Kaspersky nebenbei laufen. Bin mir eigentlich zu 98% sicher, dass mein System sicht nichts eingefangen hat.

Ich habe nun zwei komplett neue und extrem sichere unterschiedliche Passwörter verwendet. Mal schauen, ob sich der Übeltäter immer noch Zugang verschaffen kann.

Für weiteren Input (z.B. Analyse des Hijackthis Logs weiter oben) bin ich sehr dakbar!

 

[-Overlord-]

Bei mir steht die Facebook App (iOS) immer drin. Zu Anfang hab ich mich da auch öfter gewundert.

 

[Shagrath]

Vielleicht ist Dein E-Mail-Konto kompromittiert?

 

[Domi83]

Auf Phishing falle ich nicht herein. Diese Art ist ausgeschlossen.

Das ist nicht böse gemeint, aber das behaupten viele. Es gibt immer wieder irgendwelche Varianten oder Möglichkeiten die man noch nicht kennt oder gesehen hat.

Was dein Account angeht, ändere in erster Linie dein Kennwort für die Email Adresse und nimm kein Kennwort wie "mama123" oder ein Kennwort nur aus Zahlen

Gruß, Domi

 

[the.expert]

Vielleicht ist Dein E-Mail-Konto kompromittiert?

Habe auch das in meine Nachforschungen mit einbezogen. Dort ist kein zweite E-Mail Adresse verknüpft, die ein Passwortwechsel sichtbar machen könnte.

Das ist nicht böse gemeint, aber das behaupten viele.
[...]
nimm kein Kennwort wie "mama123" oder ein Kennwort nur aus Zahlen

Ich wusste, dass so ein Beitrag kommt. Es ist ja auch ziemlich unangebracht zu behaupten, dass man dafür zu "schlau" sei. Hoffentlich kam es nicht arrogant rüber. Ich möchte nur sagen, dass ich wirklich auf soetwas achte und mir soetwas zu 99,99% nicht passiert.

Ich habe nun ein Passwort aus Buchstaben, Sonderzeichen und Zahlen gewählt.
Das Passwort davor war zuerst nur aus Buchstaben, das zweite aus ähnlichen Buchstabenkombination mit Sonderzeichen gemischt.

Ich bin wirklich kein Novize, was das angeht. Ich sage nur "God, Sex, Love, and Secret" ("Hackers" - 1995)

 

[Domi83]

Du könntest ja auch noch einstellen, dass nur "bekannte Geräte" in deinen Account dürfen. Dann bekommst Du eine Email, sobald sich ein neues Gerät in deinen Account eingeloggt hat.

Vielleicht ist das noch ein Ansatz, um den ganzen Phänomen mal auf die Schliche zu kommen

 

[the.expert]

Eine sehr (!) gute Idee!

Wo genau finde ich die Einstellungsoption dafür? Wenn ich den Eintragspunkt öffne steht dort nur "Du verfügst über keine registrierten Geräte."

 

[Domi83]

Also einstellen kannst Du das in den Kontoeinstellungen.
Da ich meine Cookies immer lösche, bekomme ich natürlich immer wieder eine Email darüber, dass sich ein neues Gerät angemeldet hat. Wenn ich dann aber mal weiß, dass ich es NICHT bin, kann ich den wieder raus kicken

Gruß, Domi

 

[the.expert]

Vielen Dank! Habs gefunden dank des Screenshots.

Mal sehen wie lang das jetzt gut geht.

 

[Heelix]

Halte uns auf dem laufenden, ich Wette auf das Handy oder andere "ups Effekte" seitens des TE