Trojaner/ Mailbot?

Foofer · 22.11.2011, 13:21

Hallo!
Ich habe gestern 3 Mails von gmx erhalten, dass meine Emails nicht versendet werden konnten.
Hier mal eine als Beispiel (adressen anonymisiert)

Code:

Hi. This is the qmail-send program at mailout-de.gmx.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<phone@none.com>:
74.125.39.26_does_not_like_recipient./Remote_host_said:_550-5.1.1_The_email_account_that_you_tried_to_reach_does_not_exist._Please_try/550-5.1.1_double-checking_the_recipient's_email_address_for_typos_or/550-5.1.1_unnecessary_spaces._Learn_more_at_____________________________/550_5.1.1_http://mail.google.com/support/bin/answer.py?answer=6596_d10si1451486fah.163/Giving_up_on_74.125.39.26./

--- Below this line is a copy of the message.

Return-Path: <Pexxx@gmx.de>
Received: (qmail 16143 invoked by uid 0); 21 Nov 2011 13:49:08 -0000
Received: from 69.121.67.108 by www061.gmx.net with HTTP;
 Mon, 21 Nov 2011 14:49:05 +0100 (CET)
Content-Type: text/plain; charset="utf-8"
Date: Mon, 21 Nov 2011 14:49:05 +0100
From: "Boxxx" <Pexxx@gmx.de>
Message-ID: <20111121134905.xxxx@gmx.net>
MIME-Version: 1.0
Subject: Ricki Stirgus
To: gabthelexxx@yahoo.com, bdexxx@googlemail.com, nicholasbelcasxxx@yahoo.com,
 tib_xxx@yahoo.com, tib_xxx@yahoo.com, Tovaxxx@juno.com,
 ladychelle0xxx@vzw.blackberry.net, ladychelle0xxx@vzw.blackberry.net,
 heartxxx@yahoo.com, phoxxx@none.com
X-Authenticated: #56889065
X-Flags: 0001
X-Mailer: WWW-Mail 6100 (Global Message Exchange)
X-Priority: 3
X-Provags-ID: V01U2FsdGVkX1/iVw0UpAXi10/XxFWDndqFUCT0zcmQvqE0IACEtc
 Rv7ivy/hWOKie8Lbufi237oYjA2V3T5N+IYQ== 
Content-Transfer-Encoding: 8bit
X-GMX-UID: vzuoGmZJbXB+SIx8Vjc2pIwiLyUmZYgV
X-GMX-Antivirus: 0 (no virus found)

http://omasperu.com/Index.php

Ich habe die Adressen nie zu vor gesehen, dementsprechend auch nie eine derartige Mail verfasst.

Desweiteren kann ich nun von meinem GMX Email-Konto keine Mails mehr verschicken, da ein Verdacht auf Betruf vorlegen würde.
Der Zugriff auf mein Web.de Konto ist komplett gesperrt worden.

Interessant ist dabei, dass das GMX Konto mit Thunderbird verwaltet wird, das WEB Konto jedoch nicht und nur über den Browser abgerufen wird.

Antivir Premium ist seit der Neuinstallation von Windows installiert und immer auf dem neuesten Stand. Habe ich bereits drüber laufen lassen, absolut nichts gefunden.

Hat jemand eine Idee?

Viele Grüße
Foo

**xandros** · 22.11.2011, 14:14

http://www.modernboard.de/viren-wuer...-beachten.html
Das ist die erste Idee, die man durcharbeiten sollte!
Antivir ist als Grundschutz ok, kann aber - wie alle anderen Antivirenprogramme auch - nicht jede Art von digitalem Schaedling finden. Daher solltest du hier mal die Logfiles von RSIT und Malwarebytes (siehe Link oben!) posten. Vielleicht ist daraus etwas mehr zu erkennen und man kann einen Schaedling ausmachen, der fuer den Versand verantwortlich ist.

Weitere Idee: Sowohl GMX als auch Web.de verfuegen ueber die Moeglichkeit, dass man bereits via Browser darauf zugreifen kann. Es muss sich also nicht mal um einen Schaedling auf deinem Rechner handeln.... moeglich waere auch, dass sich jemand deine Zugangsdaten beschafft hat und die Mailkonten online verwendet. Sofern Zugriff moeglich ist, solltest du hier umgehend die Passwoerter aendern!

**Leonixx** · 22.11.2011, 16:18

Zitat:

Ich habe die Adressen nie zu vor gesehen, dementsprechend auch nie eine derartige Mail verfasst.

Was darauf schließen lässt, dass hier ein Spamkonto eröffnet wurde. Vermutlich wurde auf deinem Mailkonto eine Alternativadresse angegeben und das Zugangspasswort geändert. Wie der Cyberkrimininelle an die Daten gekommen ist, bleibt erstmal fraglich.

Oft ist es so das User in Social Communitys viele persönliche Daten angeben wie z.B. Haustiernamen. Diese Infos werden von den CBK genutzt um dann auf Passwort vergessen zu klicken. Oft wird dann die Abfrage benutzt z.B. wie heißt ihr Haustier um sich zu identifizieren. Schon kommt man an den Mailaccount ran. Nur eine Methode. Oder eben über ausnutzen von Browserlücken Session Cookies auslesen.

Foofer · 22.11.2011, 21:27

Hi

Hier erstmal der Malwarebytes Bericht.

Code:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8220

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

22.11.2011 22:23:34
mbam-log-2011-11-22 (22-23-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 294814
Laufzeit: 38 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Es ist - genau wie bei AV nichts gefunden worden.
Social Networks sind eigentlich auszuschließen, da achte ich immens drauf, keine persönlichen Daten raus zu hauen.

Die Passwörter der Email-Konten sind geändert worden - kann ich noch irgend etwas tun? Mir ist es nicht geheur, dass jemand in meinem Namen emails spamt.

Viele Grüße
Woodi