Trojaner-Board - GMX versendet Spam-Emails trotz Löschung des Trojaners

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GMX versendet Spam-Emails trotz Löschung des Trojaners (https://www.trojaner-board.de/115769-gmx-versendet-spam-emails-trotz-loeschung-trojaners.html)

GMX versendet Spam-Emails trotz Löschung des Trojaners

Hallo Zusammen,
ich bin auf eure Seite aufmerksam geworden, da GMX selbstständig Spam-Emails an mein komplettes Adressbuch versendet hat und ich die "unzustellbaren" Mails als Benachrichtigung bekommen habe.

Ich habe daraufhin alle Schritte durchgeführt, welche in den unzähligen Beiträgen angegeben wurden.

Malewarbytes, OTL, ESET (hab ich selbst) und SUPERAntiSpyware.
Es wurden unzählige Cookies gefunden und 2 Trojaner.

Habe alles vorschriftmässig, wie von euch beschrieben durchgeführt, gelöscht, usw.

Leider haben die Spam-Mails nicht aufgehört.
Merkwürdig war, dass die Mails auch versendet wurden, obwohl der Computer nicht an war.

Ich habe daraufhin heute mein GMX-Passwort geändert.
Die Folge: 31 fehlgeschlagene Login Versuche innerhalb 3 Stunden.

Muss ich jetzt alle Passwörter ändern?
Ich habe hunderte über die Jahre angehäuft.
Das kann ich alles nicht einmal nachvollziehen, wo ich nicht angemeldet bin.

Sitzt nich noch etwas bei mir im Hintergrund oder greifen die nur mein Passwort ab und machen dann was sie wollen, ohne das mein Rechner überhaupt an ist.

Ein kurzes Feedback wäre super!

Grüße
Manu

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
► Könntest du uns bitte die Ergebnisse deiner verschiedenen Scans (Funde) posten?

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

Download den CCleaner herunter
Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles, die Du posten möchtest)[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

gruß
kira

Hallo Kira, es hat zwar etwas gedauert, da ich beruflich viel im Ausland unterwegs bin, aber hier sind meine Dateien :daumenhoc

Die ersten Log-Dateien kann ich leider nicht mehr herstellen, da ich diese in meinem Übereifer gelöscht habe... :headbang:

Ich hatte einen Trojaner "SpyEyes". Jedoch war es nur eine Datei.
Diese war nicht in der Registrierung verankert.
Ich hoffe mal das Beste :zunge:

Wie gesagt, seitdem ich mein Passwort auf GMX geändert habe, haben die Emails aufgehört... Am ersten Tag, hatte ich 31 fehlgeschlagene Login Versuche.
Also irgendwer hat schön fleißig und regelmässig auf meinen Account zugegriffen!!!

Ich habe nur Angst, dass meine 1000 Passwörter, bei allem möglichem im Internet, auch betroffen sein könnte inkl. meiner Kreditkartenummer.

Ich bin gerade dabei, die wichtigsten Passwörter zu ändern.

Ich möchte nur sicherstellen, dass sich nicht noch so ein Bastard irgendwo versteckt und wartet...

Ich habe alles durchgeführt: ESET, OTL, SUPERAntiSpyware und auch den CCleaner heruntergeladen und laufen lässen.

Wie kommen diese Dinger auf meinen Rechner?
Klar, ich lade gerne Filme über Firstload oder share-online.biz.
Dafür bezahle ich aber. Klar, Grauzone... ich weiß, aber kann man sich davor nicht schützen? ESET kostet pro Lizenz auch knappe 90 Euro. Und jeder Download wird ja auch "Viren" überprüft... Oder sind Trojaner eine andere Sparte?

Grüße Manu

oh... ich habe Malwarebytes vergessen... :wtf: läuft gerade... lade ich morgen früh hoch.

Manu

Hab das Lpg-File doch noch gefunden :taenzer:
siehe Anhang

Zitat:

Wie kommen diese Dinger auf meinen Rechner?

Hast du dir die Frage schon selbst beantwortet:pfeiff:

Zitat:

Klar, ich lade gerne Filme über Firstload oder share-online.biz.

Konsumentenschützer und Filmindustrie raten zur Vorsicht: Es gebe rechtliche Grauzonen...!!

Zitat:

... aber kann man sich davor nicht schützen?

wie denn, wenn Du als Admin die Dinge ins Haus holst?!

Zitat:

ESET kostet pro Lizenz auch knappe 90 Euro. Und jeder Download wird ja auch "Viren" überprüft...

brauchst dann nicht mal ein AV-Scanner zu installieren, zahlen dafür schon mal garnix! nach jedem (solche) Download Windows neu installieren, überall Passwörter ändern und passt http://www.world-of-smilies.com/wos_teufel/teu55.gif

► so...Punkt 3. fehlt noch, bitte nachreichen!

Hallo Kira, eigentlich hast Du recht!
Im Grunde hole ich mir die Probleme selbst ins Haus und bezahle auch noch dafür :headbang:

Werde mein Kontingent bei den Anbietern noch ausschöpfen und anschließend alle Accounts deaktivieren und den Rechner neu aufsetzen.

Anbei habe ich dir die fehlende .txt Datei von CCleaner beigefügt, in der Hoffnung, dass Du mir weiterhelfen kannst.

Ich möchte zukünftig gegen solche Angriffe gerüstet sein und keinen Trojaner ala "SpyEyes" auf meinem Rechner finden.

Lieber lasse ich die Downloads sein, bevor etwas schlimmeres passiert.
Soviel steht fest!!! Ab 01.07 werde ich alle Accounts deaktivieren und nie wieder anrühren. Das ist es mir nicht Wert!

Ist aus meinen hochgeladenen Dateien etwas ersichtlich, ob irgendwo noch etwas schlummert? Ein Trojaner, Virus, Lücke oder sonstiges?

Ich bedanke mich bereits im Vorfeld für deine Mühe & ihr seid ein super Team!
Durch solche Seiten wird vielen vielen Menschen geholfen, die mit ähnlichen Problemen kämpfen. Ich habe größten Respekt vor eurer Arbeit!!!! :daumenhoc

Gruß Manu

Systemreinigung und Prüfung:

1.

Zitat:

Achtung wichtig!:
Falls Du selber im Logfile Änderungen vorgenommen hast, musst Du durch die Originalbezeichnung ersetzen und so in Script einfügen! sonst funktioniert nicht!
(Benutzerordner, dein Name oder sonstige Änderungen durch X, Stern oder andere Namen ersetzt)

Fixen mit OTL

Starte die OTL.exe.
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Kopiere folgendes Skript also - nach dem "Code", alles was in der Codebox steht - (also beginnend mit :OTL und am Ende [emptytemp]), alles was in der Codebox steht (ohne "code"!) :

Code:

:OTL

DRV - (ahfik1wa) --  File not found

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://office.pv-v.com/Remote/logon?ReturnUrl=%2fremote

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp

IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC

IE - HKCU\..\SearchScopes\{98EC7B5B-26E5-4F4F-BD6F-85E11C72E701}: "URL" = http://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=302398&p={searchTerms}

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)

[2011.05.06 21:07:07 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml

[2011.05.06 21:07:07 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml

[2011.05.06 21:07:07 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml

[2011.05.06 21:07:07 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml

[2011.05.06 21:07:07 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml

O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.

O4 - HKLM..\Run: []  File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3

[2012.06.01 07:21:01 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

[2012.06.01 06:58:00 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

@Alternate Data Stream - 102 bytes -> C:\ProgramData\TEMP:CB0AACC9
 

:Files

ipconfig /flushdns /c

:Commands

[purity]

[emptytemp]

und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
Schließe alle Programme.
Klicke auf den Fix Button.
Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
OTL verlangt einen Neustart. Bitte zulassen.
Nach dem Neustart findest Du ein Textdokument.
Kopiere den Inhalt hier in Deinen Thread.

2.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java "Empfohlen Version Java(TM) 7 Update 4 " - von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

3.
Tipps (unabhängig davon ob man den Internet Explorer benutzt oder nicht!):
-> Tipps zu Internet Explorer
-> Standard Suchmaschine des Explorers ändern
-> Wie kann ich den Cache im Internet Explorer leeren?

4.
reinige dein System mit CCleaner:

"CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
"Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
Starte dein System neu auf

5.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird Gmer beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

6.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

Downloade die MBR.exe von Gmer und
kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich eine Eingabeaufforderung.

Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
Nach dem Prompt (>_) folgenden

aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.

Code:

mbr.exe -t > C:\mbr.log & C:\mbr.log

(Enter drücken)
Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
Bitte kopiere den Inhalt hier in Deinen Thread.

7.
erneut einen Scan mit OTL:

Doppelklick auf die OTL.exe
Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
Oben findest Du ein Kästchen mit Ausgabe.
Wähle bitte Standard-Ausgabe
Unter Extra-Registrierung wähle bitte Benutze SafeList.
Mache Häckchen bei LOP- und Purity-Prüfung.
Klicke nun auf Scan links oben.
Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.