Trojaner-Board - Habe ich einen Trojaner und kann dieser an meinen Schlüsselbund ran?

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Mac OSX & Linux (https://www.trojaner-board.de/alles-rund-um-mac-osx-linux/)

- - Habe ich einen Trojaner und kann dieser an meinen Schlüsselbund ran? (https://www.trojaner-board.de/183598-habe-trojaner-meinen-schluesselbund-ran.html)

Habe ich einen Trojaner und kann dieser an meinen Schlüsselbund ran?

Hallo Leute,

vor kurzen habe ich eine Email von meinem GMX-Account erhalten, die mich darauf hinwies, dass ich versucht hätte, Emails über IMAP abzurufen und dies erst im Account freigeschaltet werden müsse. Von diesem Account lasse ich allerdings Emails lediglich forwarden. Eingeloggt habe ich mich seit einem Jahr weder über Browser noch über Geräte. Demnach habe ich das PW auch seit langem nicht getippt und ein Keylogger fällt aus als Erklärung. Das Passwort ist nur im Schlüsselbund meines Mac gespeichert. Muss ich davon ausgehen einen Trojaner zu haben und kann dieser auf meinen Schlüsselbund zugreifen?

Danke und LG Laura

Hallo Laura,

Bestimmte Anbieter verfügen nur über einen begrenzten Zeitraum zum Abrufen von Mails anderer Anbieter. Ich würde mal bei deinem aktuellen E-Mail Anbieter prüfen ob deine GMX-Mails noch korrekt "abgeholt" werden. Prüfen kannst du natürlich auch über deinen GMX-Account ob dort was eingestellt ist.

So weit ich weiss, bietet GMX bei der Free-Version keine IMAP Unterstützung. Obwohl das bei manchen funktioniert, kann es durchaus zur Problemen führen.

Dein Schlüsselbund hat mit dem Abrufen direkt bei deinem E-Mail Anbieter nichts zu tun und wird nur für Lokale Programme verwendet bzw. über iCloud.

Zitat:

Zitat von Dante12 (Beitrag 1630064)

So weit ich weiss, bietet GMX bei der Free-Version keine IMAP Unterstützung. Obwohl das bei manchen funktioniert, kann es durchaus zur Problemen führen.

Wo hast du denn das gelesen? :wtf:
GMX bietet IMAP auch bei kostenlosen Konten vgl https://hilfe.gmx.net/pop-imap/einschalten.html

Sehe ich wie Cosinus:abklatsch:
Entweder ist das Konto gehackt oder, was ich eher glaube, in der Mail ist Schadsoftware verpackt. Sollte einem Nicht-Windows-System aber nicht schaden.

Felix, wenn jmd versucht sich ins Konto zu hacken ist das völlig egal ob der Inhaber des Kontos Windows, Linux oder OS X benutzt...es wird versucht ins Postfach einzubrechen, nicht in den Rechner, desjenigen, dem das Postfach gehört. Aber durch die Panik entstehen schnell falsche Schlussfolgerungen und es werden Trojaner herbeigeredet...

Zitat:

Zitat von cosinus (Beitrag 1630107)

Wo hast du denn das gelesen? :wtf:

Offensichtlich werden deren Hilfe-Seiten nicht alle aktualisiert?

IMAP = Premium?

Zitat:

Zitat von cosinus (Beitrag 1630203)

Haste wieder mal nur die Hälfte gelesen:kloppen:
Die eventuell in der Mail vorhandene Schadsoftware kann dem Rechner keinen Schaden zufügen:headbang:

Ich glaub das muss ich mal selber testen. Aus historischen Gründen verwende ich für alles nur (verschlüsseltes) POP3. Ist hier eh offtopic, weil es für den TO irrelevant ist wenn der Hacker schon eingebrochen ist.

Zitat:

Zitat von felix1 (Beitrag 1630208)

Haste wieder mal nur die Hälfte gelesen:kloppen:
Die eventuell in der Mail vorhandene Schadsoftware kann dem Rechner keinen Schaden zufügen:headbang:

Vllt liest du mal alles richtig :pfeiff:
Der TO sprach von einer Mail, die von GMX kam, nicht von einem Einbrecher.

Zitat:

Zitat von cosinus (Beitrag 1630216)

Vllt liest du mal alles richtig :pfeiff:
Der TO sprach von einer Mail, die von GMX kam, nicht von einem Einbrecher.

Kam die Mail wirklich von GMX? Das kann uns der TO nur an Hand des Eintrages im Header der Mail beantworten.

Das hat eigentlich nix mit dem Thema zu tun und dient ja nur, um deinen theoretischen Nebenkriegsschauplatz zu verifizieren oder so :D

Aber gerne, der TO kann ja mal die Kopfzeilen dieser angeblichen Mail von GMX hier posten, wenns dir dann besser geht ;)

@Cosinus

Zitat:

Zitat von LauraCroft (Beitrag 1629972)

Von diesem Account lasse ich allerdings Emails lediglich forwarden. Eingeloggt habe ich mich seit einem Jahr weder über Browser noch über Gerätea

GMX ist ein ISP, namentlich bekannt, war nie dort.
Warum sollte GMX dem TO eine Nachricht schicken? Wenn das PF richtig eingerichtet ist, sollte es auch nicht überlaufen.
Dass Konten in Größenordnung gehackt wurden, kannst Du hier in den Nachrichten nachlesen. Nicht jeder ISP gibt das zu, solange er nicht erwischt/angeprangert wurde.

Warum GMX dem TO ne Nachricht schickt wurde doch hier erläutert. Da hat angeblich jmd versucht per IMAP auf das Konto zuzugreifen und das ist deaktiviert. Soweit stimmt die Sache doch.

Wie der Angreifer an das Passwort gekommen soll, wenn es denn tatsädhlich dazu gekommen sein sollte, muss auch nicht an einer geklauten DB oder so liegen. Oder eher indirekt. Vllt wurde ja eine andere DB geklaut und der TO hatte dasselbe Passwort. Oder die Passworterinnerungsfunktion wurde missbraucht...

Hallo Leute,

vielen Dank für die zahlreichen Antworten. Ich lasse die Mails nicht abholen, sondern habe lediglich eine Regel in dem Postfach eingerichtet, die alle eingehenden Mails an eine andere Email-Adresse weiterleitet. Ein Ablaufen der Postfachabholung fällt also aus. Auch ein übervolles Postfach fällt aus als Erklärung.

Die Möglichkeit, dass die Email gar nicht von GMX kam, habe ich allerdings nicht bedacht. Unten ist die Mail und darunter der Mail-Header. In dem Fall sollte ich auf einen Link klicken und mich über eine fake-Seite einloggen, die erst mein Passwort erfragt? Ich hab den Account mal zum Test über die GMX iPad-App abgeholt, die ja eines der Protokolle nutzen sollte. Da kam keine Beschwerde vom Account. Das deutet ja darauf hin, dass es Verarschung war. Allerdings kam nach Ändern des Passworts von der gleichen Email Adresse die Meldung, dass das PW geändert wurde. Und das sollte ja 100% legit sein. Zum Vergleich habe ich den Header dieser Mail auch unten eingefügt. Könnt Ihr am Header der Mail erkennen, welcher echt und welcher falsch ist?

Absender ist mailings@sicher.gmx.net

Code:

Fehlgeschlagener Zugriff per Mail-Programm

        

Sehr geehrte Frau Croft,
 

Sie haben kürzlich versucht, Ihr GMX Postfach in ein E-Mail-Programm wie z. B. Outlook oder die vorinstallierte Mail-App Ihres Smartphones einzubinden. Dieser Versuch ist leider fehlgeschlagen, was folgende Ursache haben kann.

        

Die für die E-Mail Programme benötigten Protokolle POP3/IMAP/SMTP sind standardmäßig zu Ihrer Sicherheit deaktiviert. So soll verhindert werden, dass Unbefugte unbemerkt über POP3/IMAP/SMTP auf Ihr Postfach zugreifen. 
 

Auch wenn Sie Ihr GMX Postfach bereits in ein E-Mail Programm eingebunden haben, dieses aber längere Zeit nicht genutzt haben, werden die Protokolle deaktiviert.

        

Um die Funktion zu nutzen, müssen Sie die Protokolle erstmalig oder erneut in Ihren Postfach-Einstellungen aktivieren. Eine Schritt-für-Schritt-Anleitung dazu finden Sie in der GMX Hilfe. *Anleitung zum Aktivieren
 

Alternativ empfehlen wir Ihnen den *GMX MailCheck und die *GMX Mail App zu verwenden. Diese Applikationen bieten ebenfalls einen direkten Zugriff auf Ihr Postfach, benötigen jedoch nicht die unsicheren Protokolle POP3/IMAP/SMTP.
 

Ihr GMX Kundenmanagement

Der Mail-Header der in Frage stehenden Mail ist:

Code:

Erweiterte E-Mail-Informationen

Return-Path: <>

Received: from mout-bounce.gmx.net ([212.227.17.29]) by mx-ha.gmx.net (mxgmx003 [212.227.15.9]) with ESMTPS (Nemesis) id 0M9drb-1cLqbu4C4d-00Cy5F for <laura.@gmx.de>; Sun, 11 Dec 2016 16:50:18 +0100

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=sicher.gmx.net; s=isystem1; t=1481471417; bh=0+TnRSDs+3Kcap4+Kd1SGkhPNugYSM4Z3gEfI1OiujQ=; h=X-UI-Sender-Class:From:To:Subject:Date; b=ejbEXPXWxNo+QsTbGyUpMipdvrolELp9dV5GccD363ZPMU9ANk07QB3OyHVaJizYL A5H81ugBiZvcLRiHW1KXq7+xSCfabv5RzE/Vhh9h4DhHVYIOiJIA1MW3Y+rIirDGYs cZi58G/lr+Vm2u5mx5oknBPT20o72GlQUqs3V03Q=

X-UI-Sender-Class: 956e1208-472e-4e51-94e8-cddce6d386a1

Received: from [172.19.126.78] by msvc-msubmit-portal002.server.lan (via HTTP); Sun, 11 Dec 2016 16:50:17 +0100

MIME-Version: 1.0

Message-Id: <trinity-sys-NET-1cbdf4cb-6cdc-4683-95e3-b0f52ecb25d7-1481471417859@msvc-msubmit-portal002>

From: "GMX Sicherheit" <mailings@sicher.gmx.net>

To: laura.***@gmx.de

Subject: Fehlgeschlagener Zugriff per Mail-Programm

Content-Type: multipart/mixed; boundary="----=_Part_14070233_341430969.1481471417858"

Date: Sun, 11 Dec 2016 16:50:17 +0100 (CET)

Auto-Submitted: auto-generated

X-Provags-ID: V03:K0:3+2VpemPxisLKJBLYqF061UYpVudD9B+/JWnzvpaal2 Q9r/pSrRwO87BellEaqf/wv0cCyTNeyFAm2aaoIre0G7lmfNnS ywobxlrCpL8rYHxkSFd5+uJRqOcr3/TpBdK22qNFECmQlgAD6O IchQ8RG9vdjMkDJtxSdnD0vXR3povxgrJ838vc5ntUM6RYBzX6 jgwmpVVjjlCK4jdrVEViHu7BMNJn7uSeicSeulDij4s9sGyXsm Sl6JCPJ+KkMRyl5sbft9tFQ+GCAhOYfkQvbISgtVrGR7+CKusC PF6H+BrYmmyYEbVGPCukeaQ+Txfl7h9lVUrTHc93PeYpXAz8w= =

X-UI-Out-Filterresults: unknown:0;V01:K0:jYzpoQ4/r8s=:6VjYpLxlu2IUQxchiNMO6w ==

Envelope-To: <laura.***@gmx.de>

Authentication-Results: mqgmx002.server.lan; dkim=pass header.i=@sicher.gmx.net

x-tdresult: 083dda0d-642a-3c2c-c976-f7663733d58e;b2b60b80-7a50-4390-aebe-a8f2b5152a35;1;1;1;1

x-tdcapabilities: 

X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;

X-GMX-Antivirus: 0 (no virus found)

X-UI-Application: 4:xtdresult=MDgzZGRhMGQtNjQyYS0zYzJjLWM5NzYtZjc2NjM3MzNkNThlO2IyYjYwYjgwLTdhNTAtNDM5MC1hZWJlLWE4ZjJiNTE1MmEzNTsxOzE7MTsx,xtdcapabilities

X-UI-Filterresults: notjunk:1;V01:K0:HURYL1vyhWI=:TSeDak6pnm1lR98TXsqa6pkNmI wnH9hXK2QnpDXaoDRKEyVloOqz4mZCtB8VX5CdarHjIP3lW0s+8bTWZb5w8QQs4qvjy+YS8lv 1m1cBlRHLP3D7ngQ0XjzWkrbxM1RR/QYp1KHSbxHxCJpANVLe7URpS0n2cm6WgPiNmMKk024u 3PmM4AObWpZGY6dWqTUT71DfwpKMSIogn5nUfLaH/dcqMUQaT0vItIg/y3vHrT5iAuKxQADaa oSFr3W/mCt8ieq/9gw8l3f8mUgBcwSeU2x0yfmUO8J6HwQpBPPUcOGXxjlk2SmpqWKQmKwh9V F0wXC6pRC21ASxc/bshRPbuv5nrnB4tD4PnzFaKvHXZDruSCCPvoBLW0u4x260qOvWyYhUwZd t/msJD/Wt0JghrHsX55eug3+Ugop0hMbUk5zGNV+GASP/TuknYIkQcgjZXi8aR74GH+sTl+Ev OoLDAxz+rxRVz20bmsLuJ74UcALLGdoszCjRrc+4g6dPnDA3nutHSnAVm1oS6kCpezGk/XiLL 3J1FhHpoFpJ7IhCW8uiFMGsQ7JF6lEDSgiDWTb6Yqf91fBEXEpy4kr7SJo8nuoDl+H1Wx7gB/ SD0XN5Xm/F++G/f72HVrHK9w3bO2uo6Eyt416d4Wt02M74l3j2OCoRu2YH4jIHuXen4TKTuyY +zHYRM3jTKoxM82wT2uhcvigdhfMaYbXJkW2/Eg7Wpqf914E1UjNSykMmREUUPIITH8ZZQhKd a2qqth9h4dU9MwR245NuK+aQDRc6k8Nb8PtYzodURUpsQ7Sa9TAHZEtnF1wmWS6QMKYPsP4cv P/WLyC2B1xec7hzVmXp7SauBsRzQFkASvMTcavzGMzrab3N0pOv9pGCw7LAC/JkR8vpJ7wGlD 8y1VIxgFnp8in+uVWTV/MKmw+WzCWW2rx8BSOs+0EtbHRhP6hI3aaLn60sfWJBaLDuZ+hCLN9 cQGEH1T+HWZsb+GoUhMadcBslktpLleomQ420tMVV3/tua51sh+B6jjcH5rNVF75agocfpQtO AlUaZeEFOz2c4iwC437lk+4KXCD+9/yLXQkpsk7JTgFcpH7HXxfbfxxKNSg9vxXV1Btu8tYHp oDdlF1WTSMvwM/1Jawj2fNIpCj4hGa3DnHdUWX7wxtpD3jlXIUaPsK4Wq44mVCiKaaqyPCvxh iJ3lqGgcd04g21RcBpAVIkl1DO1HDdmf+tTwW8RWRKNBfqrpdrIOUrgaxy1YfEqGU9kQ7Ylid /1O8azQTCLizn

Der Mail-Header der PW Änderungsbestätigung ist:

Code:

Erweiterte E-Mail-Informationen

Return-Path: <>

Received: from mout-bounce.gmx.net ([212.227.17.26]) by mx-ha.gmx.net (mxgmx009 [212.227.15.9]) with ESMTPS (Nemesis) id 0Lo29Y-1crc9n1Lom-00fwmR for <laura.@gmx.de>; Sun, 11 Dec 2016 17:00:23 +0100

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=sicher.gmx.net; s=isystem1; t=1481472022; bh=z/8PbY+Cfo5eJJE53Is/dqLr8sxP+jLnJDrB6madzMk=; h=X-UI-Sender-Class:From:To:Subject:Date; b=ZpbXdEOn0ApVVei4rxyjTF+60IvehpRatqOWIxTwN9daIopX8F0X5zEPuSRzN8N5o r62hY2SFP6ZLqI5N0yCW6zN+yH1xcd4Vc+6giDNQYd9V09W23nuYcsRy92UmJFoAQq s5w7a+uj3RbLyUfKsqAlYtU11s1syU4SBsqbLts4=

X-UI-Sender-Class: 956e1208-472e-4e51-94e8-cddce6d386a1

Received: from [172.20.145.183] by msvc-msubmit-portal003.server.lan (via HTTP); Sun, 11 Dec 2016 17:00:22 +0100

MIME-Version: 1.0

Message-Id: <trinity-sys-NET-b378d070-63c3-4cd7-abed-b31cba9a208a-1481472022597@msvc-msubmit-portal003>

From: "GMX Sicherheit" <mailings@sicher.gmx.net>

To: 

Subject: =?UTF-8?Q?GMX_Sicherheitshinweis=3A_Ihr_Passwort_wurde_ge=C3=A4ndert?=

Content-Type: multipart/mixed; boundary="----=_Part_13378473_295189529.1481472022596"

Date: Sun, 11 Dec 2016 17:00:22 +0100 (CET)

Auto-Submitted: auto-generated

X-Provags-ID: V03:K0:OfypImWP5RLXhI3lqSDXU6tNaBXPc7sJQTH9QV+pOs5 bFszCaKxtgvZtjqpcekZh9x00WzIiHbrOltJ7pavkS6wyvdKx4 TY+3NsDC67v58CGfQQbgMv60nkudy379mLTi/ViOkzLXNgWXWe Qzp2GLt2Xw1MEel50UZUy+7/eRHdOS/8PkOoBezBnHQsX7cEPe AH/ERZ5Of+pVJWVhxVfdjDYs1pE6ExeZK6i+NSxXSBtf0fih/U qo6xmXFyhLQYoflBmZx0ypTRo8fK7Uj8iBsmKuOHPRw8XUalyQ 0mvEMibIkSCOaTNUqpJoGKftnEK+9R6DY1RQBU/WHvmJKlIlA= =

X-UI-Out-Filterresults: unknown:0;V01:K0:kaYs8ocgiAo=:DXz77qFbxr8w2n4o2t2SxA ==

Envelope-To: <laura.***@gmx.de>

Authentication-Results: mqgmx001.server.lan; dkim=pass header.i=@sicher.gmx.net

x-tdresult: 083dda0d-642a-3c2c-c976-f7663733d58e;bd84b9be-7bc8-4042-9695-55838b4d8000;1;1;1;1

x-tdcapabilities: 

X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;

X-GMX-Antivirus: 0 (no virus found)

X-UI-Application: 4:xtdresult=MDgzZGRhMGQtNjQyYS0zYzJjLWM5NzYtZjc2NjM3MzNkNThlO2JkODRiOWJlLTdiYzgtNDA0Mi05Njk1LTU1ODM4YjRkODAwMDsxOzE7MTsx,xtdcapabilities

X-UI-Filterresults: notjunk:1;V01:K0:DaTEwDrC/0E=:5ePEFKgnpNC2a/wdbmS4SkdRze hh1aW+T8E5MhfbKWljokzV6cv6iXSXH4Yv74crfBTxXeZSDnizXDIbgmph0vByzo1s6HoJyO9 r03HI/gkte0aUG67aFU5TzNKMP3C9bAznPkHMkiYEMZs1HNtaFdZNM+4GndigKkzqjd67MX5d rfwJTbt8CLazZfydn3a79+jiRtIg16/JUoHD/RR1nsSd1JY4MuD8u0snF75hC9ryK8osk3WSt ABDvotRzwMf/TfqC6z7KSn7dIrKLcaVxbcTEBBPEJqYazmOM32dw/Hh4ThQUVgsi1+KMuwXPJ VLg+01zjbuEU4yHOgM2w+LZtAWg0u59DfdckFlH8v0RJa7y6pN/h6vfzGnjyEtKUdzWysdYUi FHsTp2yMgfPacrzvxVrVzPxd+s/sApU+JJ5N5BHjKAhQIp3dUADVJJ8xNByaDDQQcMnvxpjTf JhDtqjAcE34JPp5SnD1z2PYKCkWGzopN5g4XM2Q+n9J+qbcw5nNHqDJ/KxBOaPsPNG29pQWzU pAHsJw3oh2FDsvxCQZGspgFslRcYtjXfyZSJPuagIJgCgehyD+bGyOpRRILJj5I6axMIlLLLt tUfnreX5YPpXU3xae/akXrGgBMgVZZq5wIWMIVWCKL96cV6+91xdVbz955sX1J52aHVEnEuD3 ZI5tDQ1olzxNID+OFA7GW4S2QhzXN25Vfp5ckpQSMkonLYFfvLXawo05i5ZGnEr9NIaSrhw83 cINPUYI7INgqjXywfgw/Wzx4BK0otzgirznBNw3CHR3QljBa9JPcNKSVmqnHwWXj29H/teN6z U14jc55wnQbEBfid0imoLTmVHcAIVCvZsGPnzu9B5+L78JdMol52WcU96whcFeSwcUBUY9dL2 wkktZqIObHJcxSOQJqtOoDJtrU86uIX25CxEnk5n9Zfp8Y+VTn2A+tnmCr6wp4e2c/7ERj6Vx pB69FPQ4jDF9LhJLu/FLWghLl3XmM+LGdUAPcgF7x/5i6QfHLt84yFxYQanQpCnA8dblriW3p MeI6Sm3U9szXLElBxHWZIhElVwBBXNVm2Okr1/rDXFdWhnh1W11mx2NjYA16hMQzASrzlNMBa kE+Eu4Q40JfOkBpuwSf6Um2sSkEJaa6Vd3Y8Zqz2+/t5CrfPWUmL4y3VbDKz6QOFuRa0k642s 8DMRyHj3j2vUA0Q/17p7A5SKWorlYDWSEyXXPYHXGJVb2bWGgQNS1XHkphymAAj3I=

Wo ist das Log mit den Headern der Mail mit dem Fakelink?

Über welche Mailserver die Mail gegangen sind sieht man an den Zeilen die mit received anfangen.

1. Log

Zitat:

Received: from mout-bounce.gmx.net ([212.227.17.29]) by mx-ha.gmx.net (mxgmx003 [212.227.15.9]) with ESMTPS (Nemesis) id 0M9drb-1cLqbu4C4d-00Cy5F for <laura.***@gmx.de>; Sun, 11 Dec 2016 16:50:18 +0100

Received: from [172.19.126.78] by msvc-msubmit-portal002.server.lan (via HTTP); Sun, 11 Dec 2016 16:50:17 +0100

Und im 2. Log ein sehr ähnliches Bild:

Zitat:

Received: from mout-bounce.gmx.net ([212.227.17.26]) by mx-ha.gmx.net (mxgmx009 [212.227.15.9]) with ESMTPS (Nemesis) id 0Lo29Y-1crc9n1Lom-00fwmR for <laura.***@gmx.de>; Sun, 11 Dec 2016 17:00:23 +0100

Received: from [172.20.145.183] by msvc-msubmit-portal003.server.lan (via HTTP); Sun, 11 Dec 2016 17:00:22 +0100

Adressen hier wie 212.227.15.9 oder 212.227.17.29 (jew. erste received Zeile) gehören zu 1&1. Also GMX.

212.227.15.9 - IP-Adresse - utrace - IP-Adressen und Domainnamen lokalisieren
212.227.17.29 - IP-Adresse - utrace - IP-Adressen und Domainnamen lokalisieren

Die zweite recieved Zeile zeigt, dass ein interner Host im Spiel war. Intern weil die IP-Adressen wie 172.19.126.78 und 172.20.145.183 im privaten Bereich sind und nicht im Internet geroutet werden.

Ich schlussfolgere daraus: Die Mails sind nur aus GMX-Servern gekommen und kein Spam.