Hallo Experten-Team,

ich bitte um Unterstützung bei der Prüfung meines Systems auf Malware, da ich den Verdacht habe, Opfer eines gezielten Angriffs geworden zu sein.

Zusammenfassung des Vorfalls:

Ich habe kürzlich festgestellt, dass mein GMX-E-Mail-Konto kompromittiert wurde. Unbekannte haben Filterregeln eingerichtet, die meine E-Mails mit 'normaler' Priorität bei Eingang gelöscht und Nachrichten 'mit hoher Priorität' an eine fremde E-Mail-Adresse weitergeleitet haben (Die fremde E-Mail-Adresse lautete: stewartmal_lysogorski@gmx.com).

Beobachtungen, die dem Hack vorausgingen:

1. Ad-Blocker/Layout-Probleme: In den Tagen vor dem 10.11.2025 (dem Tag der Entdeckung) hatte ich wiederholt Probleme beim Login auf der GMX-Website, beim Streaming in der ZDF-Mediathek beim Schauen von Videos auf u-tube, sowie auf der Seite des DWD (Deutscher Wetterdienst).
Nur, wenn ich meinen Firefox Ad-Blocker auf den vorgenannten Seiten deaktiviert habe, funktionierten sie einwandfrei.

2. Die Login-Felder auf der GMX-Login-Seite waren bei der unter Punkt 1 geschilderten Problematik nur sichtbar, wenn ich meinen Firefox Ad-Blocker deaktivierte.
Zudem variierte das Layout der GMX-Login-Seite.
Nach einem vollständigen Neustart des PCs war das Problem jeweils behoben.

3. Zeitraum: Die Filterregeln waren ca. vom 02.11.2025 bis 10.11.2025 aktiv.

4. Kein E-Mail-Klick: Ich habe keine verdächtigen E-Mail-Anhänge geöffnet oder Links in mutmaßlichen Phishing-E-Mails angeklickt. Der Angreifer muss meine Zugangsdaten auf anderem Wege (vermutlich über eine Phishing-Seite, die durch die Ad-Blocker-Problematik verborgen wurde) erhalten haben?

Durchgeführte Maßnahmen:
Ich habe die Filterregeln bei GMX gelöscht und
mein Passwort für GMX geändert.

Ich habe ansonsten bis jetzt vorsichtshalber auch noch keinen Scan mit dem Windows-Defender oder Malewarebytes durchgeführt, um evtl. automatische Löschungen oder Reparaturen auf meinem System zu vermeiden.

Vielen Dank im Voraus für Ihre Hilfe!

Was genau hat ein Einbruch in ein Online-Konto mit deinem Rechner zu tun?
Welche Hinweise hast du da?
Du tust so, als ob eine Art Fernsteuerung für den Einbruch in dein GMX-Konto so eine Art Voraussetzung sei - bitte mal erläutern was du wa meinst und warum.

Zitat:

Ich habe ansonsten bis jetzt vorsichtshalber auch noch keinen Scan mit dem Windows-Defender oder Malewarebytes durchgeführt, um evtl. automatische Löschungen oder Reparaturen auf meinem System zu vermeiden.

Du weißt aber schon, dass wir ohne Logfiles von MBAM und FRST keine Aussagen machen können?

Bin auch immer wieder erstaunt, dass viele davon ausgehen, dass zwingend der Heimrechner kompromittiert sein muss, wenn Online-Accounts gehackt wurden.

Viel wahrscheinlicher ist doch, dass die E-Mail Login-Daten bereits früher in irgendwelchen Data-Leaks abgegriffen wurden.

Hast du schon Websites wie https://haveibeenpwned.com/ oder https://sec.hpi.de/ilc/ befragt, ob deine GMX-Daten nicht zuvor längst im Web kursierten?

Und hast du jetzt ein einzigartiges Passwort für dein Account, damit das nicht wieder passiert? Empfehlenswert ist auch die durchgängige Verwendung eines Passwort-Managers wie z.B. Keepass.
Für ein Master-Passwort kann man dann z.B. die Diceware-Methode verwenden.

Hallo cosinus & Yatagan,
danke für Eure Antwort.
Ich habe mein Möglichstes gegeben, das Problem zu beschreiben. Ich bin kein Experte, wie Ihr.
Ich glaube, nachdem ich in der zdf-mediathek (Markus Lanz) geschaut habe (tue ich gerne zum Einschlafen, wenn ich von Nachtschicht Feierabend habe) und dann während der Sendung eingeschlafen bin, die Sendung dann beendet war, dann konnte ich mich am Abend (wenn ich dann wieder zur Nachtschicht aufgestanden bin) nicht mehr in gmx, zum Checken meiner Mails einloggen, ohne meinen (geliebten) AdBlocker zu deaktivieren (wie ich durch Zufall herausgefunden hatte): denn wenn der Ad-Blocker aktiv war, 'dann' hatte ich bei gmx keine Eingebefelder mehr (für meine Mailadresse, sowie für mein Passwort). Deaktivierte ich hingegen dann, nach dem o.g. meinen Ad-Blocker, waren diese Eingabefelder wieder da (plus ein sich manchmal veränderndes Layout, der gewohnten gmx-Einlog-Seite). Ich kam dann, nach Eingabe, meiner e-Mail-Adresse und meines derzeitigen Logins auch wieder in mein Postfach, aber bekam halt keine Mail-Eingänge mehr, wie ich dann nach ca. acht Tagen feststellte. Und dann habe ich KI (google) gefragt, wie das sein könnte unter o.g. Parametern und google ki sagte, ich wäre wahrscheinlich gehackt worden. Ich habe dann mit ki's Hilfe, diese Filtereinstellungen, die ich oben beschrieben habe gefunden, diese deaktiviert, mein PW geändert und dann entsprechende Anfrage an Euch gestellt. Mehr weiss ich auch nicht.
..ich werde dann cosinus Hinweis nach, die kommenden Tage malewarebytes Anti-Viren-Programm über mein System laufen lassen und das krasse FRST auch. Ich bitte nur um etwas Zeit, dafür.
Lieber Gruß
Ralf