Hallo liebe Trojan-Board Helfer,
ich musste gerade eben feststellen, dass ich mit Mailer Damenon Nachrichten überschüttet wurde, die ich jedoch noch stoppen konnte. Folgene Mail befand sich in meinem Postfach:



Hi. This is the qmail-send program at mailout-de.gmx.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<Zieladresse@pitt.edu>:
64.18.6.10_does_not_like_recipient./Remote_host_said:_550_5.1.1_unknown_or_illegal_user:_Zieladdresse@pitt.edu/Giving_up_on_64.18.6.10./

--- Below this line is a copy of the message.

Return-Path: <Meine Adresse@gmx.de>
Received: (qmail invoked by alias); 27 Sep 2012 21:02:33 -0000
Received: from 50-77-148-216-static.hfc.comcastbusiness.net (EHLO gmx.de) [50.77.148.216]
by mail.gmx.net (mp030) with SMTP; 27 Sep 2012 23:02:33 +0200
X-Authenticated: #22836082
X-Provags-ID: V01U2FsdGVkX1834mVknD43Mju7ubNweHPvYW5HmEL0R4Db2y5prT
uqXI1L7xFL3+gi
Date: Thu, 27 Sep 2012 17:02:31 +0300
From: Ashley Dee <Meine Adresse@gmx.de>
Organization: dunpql
X-Priority: 3 (Normal)
Message-ID: <141370587.20120927170231@gmx.de>
To: Zieladresse@pitt.edu
Subject: H"^"E"^"R"^"B"^"A"^"L"^""^"V"^"I"^"A"^"G"^"R"^"A
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 8bit
X-Y-GMX-Trusted: 0
X-GMX-Antivirus: 0 (no virus found)

hxxp://k2medya.com/ekmumslg/herbal.php?DeeAshleyDee


Ich habe KEINEN der angegebenen Links angeklickt. Ich habe bereits zuvor von einem anderen Nutzer, der mir oft Mails schreibt eine andere Mail erhalten, diese jedoch immer gelöscht ohne Anhänge zu öffnen oder auf einen Link zu klicken.

Ich habe bereits die Themen von Moru und markusg durchgelesen (der zweiter Thread erschien mir ähnlich, aber in den Regeln heißt es jedes Problem ist individuell, weshalb ich mich dann doch mal hier gemeldet habe).

Die Mail Flut brach ein, wodurch ich jede Minute min. 3-5 Mails mit dieser meldung erhielt. Habe dann sofort bei gmx das PW geändert wodurch die Flut aufhörte (habe nur noch 1 Mal eine meldung erhalten, weiß aber nicht ob das noch vor oder nach der PW-Änderung war; denke danach, da nach der Flut 5 Minuten Pause war).

Ich hoffe, dass mein PW nicht geknackt wurde oder ich einen Wurm drauf habe. Benutze Comodo, AntiVir und Thunderbird als Mailprogramm.

Vielen Dank bereits schon jetzt, ihr macht eine großartige Arbeit für das Netz und alle Benutzer. Ich war schon oft bei euch und habe mir Themen angeschaut, aber da ich momentan mitten in meinen Prüfungen stecke, wollte ich sicher gehen, da viele Daten auf einem Arbeitsrechner sind und ich keine lust habe, dass sie verloren gehen in irgendeiner Art und Weise.


Beste Grüße,
Lokibri.

Zitat:

Zitat von Lokibri

Ich hoffe, dass mein PW nicht geknackt wurde

Wenn die Passwortänderung tatsächlich ursächlich für den Stopp gesorgt hat, dann wurde dein altes Passwort geknackt oder es war "irgendwie" bekannt.
Wenn du deinen Computer auf Malware untersuchen lassen wolltest, befändest du dich leider im falschen Unterforum.

Bitte lies folgende verlinkte Anleitung vollständig durch => Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
und erstelle anschließend dort => Plagegeister aller Art und deren Bekämpfung ein neues Thema.


Es ist aber auch möglich - und auch nicht unwahrscheinlich -, dass unabhängig von deinem PC durch einen direkten Angriff auf GMX dein Passwort "gehackt" oder ausgelesen wurde.

hi, nutzt du denn zb überall das gleiche passwort? dann könnte jeder andere dienst, bei dem du das passwort nutzt gehackt worden sein, oder wenn das passwort einfach war, hat es jemand rausgefunden.
man sollte für jeden dienst ein extra passwort verwenden, auf jeden fall zwei-stellig, es sollte aus:
buchstaben, (klein und großen) zahlen, sonderzeichen, umlauten und satzzeichen bestehen.
wenn man viele passwörter hatt, bzw probleme sie sich zu merken, kann eine passwort verwaltung hilfreich sein:
Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager
anleitung:
RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten
(mit passwort generator)
natürlich ist dazu nen sauberr pc nötig, also, den pc, wie oben beschrieben, untersuchen lassen.

Hallo markusg,
ich würde sagen das PW war nicht sonderlich sicher. 7 Buchstaben 2 Zahlen.

Ja, ich verwende 3 unterschiedliche die aber ein Teil gemeinsam haben. Das PW wurde dennoch sehr häufig verwandt. Habe jetzt das Mail PW geändert und werde andere PWs nachziehen und mir eine Taktik überlegen, wie ich sie mir merken kann ^^.

Vielen Dank bereits im Vorraus für die tolle Hilfe im Forum. Mein System lasse ich gerade im anderen Forum checken, bisher sieht es aber sehr gut aus. (Keine Funde bei malwarebyte, emsisoft, etc.).

Kann es also sein, dass ich ge "brute-forced" wurde?

jepp, ist warscheinlich, du kannst ja, wie gesagt, nen thema eröffnen, und wir werfen nen auge.
das oben verlinkte tool, hilft dir, ja wie gesagt, bei der passwort verwaltung, ist ja extra dafür da, falls man viele schwierige passwörter hatt, und probleme, diese sich zu merken.
es kann auch automatisch formulare ausfüllen.
aber natürlich musst du hier ein sicheres master passwort vergeben, dieses musst du dann immer eingeben wenn du das programm verwenden willst

Ahja, vielen Dank dafür.

Ich linke dir mal mein Thema rein, was ich bereits gepostet habe: http://www.trojaner-board.de/124801-...-entdeckt.html

Da sind auch alle Berichte etc. zu finden.

Vielen lieben Dank für die Hilfe und ich werde mir dieses PW Tool nochmal genauer anschauen .

Liebe Grüße an die Trojanerboard-Helfer.

Ihr macht einen großartigen Job!

hi
ich sehe da aber nur:
D:\Spiele\Steam\SteamApps\common\left 4 dead 2\left4dead2\bin\A0C5F695-4F8C-4464-9CF7-0FCEA60B7996
nichts von winamp.
ich will mich jetzt da nicht weiter einmischen, aber kannst du mir die date mal hochladen:
Trojaner-Board Upload Channel
vorher evtl. avira guard über rechtsklick auf regenschirm deaktivieren, dann kann ich den an avira melden

Die Datei, welche angezeigt wurde, war von AntiVir entdeckt wurden. Der Bericht dazu steht in dem anderen Thema, was ich verlinkt habe.

Die Datei habe ich soeben hochgeladen und mit einem Kommentar für dich versehen .

Vielleicht ist es von Relevanz, dass dieses Spiel aus England stammt.

Danke und beste Grüße, ich werde das hier intensiv weiterverfolgen ,
Lokibri.

hi
aber ich hatte keinen fund in winamp gesehen, da du ja geschrieben hast es hätte dort einen gegeben

Ach du Schreck. Du hast vollkommen Recht. Ich frag mich gerade wie ich auf WinAmp kam. Tut mir Leid für die Verwirrung. Dabei war ich mir so sicher. Im Report von AntiVir steht es ebenso. Hast du ja sicher dort gefunden. Bei WinAmp wurde nichts gefunden.

Gibt es denn Neuigkeiten zu diesem Fund?
Ich glaube der war schonmal aufgetaucht...

hi, wenn du mal nen update machst, und die datei erneut prüfst, tritt das problem auf?
ich hab kein avira instaliert, sie aber bei virustotal geprüft, dort zeigt avira nichts an, hab sie natürlich auch an avira geleitet

2 fragen:
1. läuft das spiel?
2. hattest du während der zeit ein update des spiels laufen?

AntiVir prüft gerade nochmal Laufwerk D: komplett.

Das Spiel lief beim letzten mal, als ich es benutzt habe. Ein Update war nicht "aktiv" allerdings habe ich es bei Steam angehalten, es war also quasi "mittendrin".

aha, dann kann es wohl daran liegen, update mal, teste ob das spiel läuft, und mache das nächste mal keine scans und updates zur gleichen zeit, dass kann probleme geben.

Also habe es geupdated und der Ordner wurde dadurch bearbeitet, in dem sich die Datei befindet. Änderungsdatum 28.09.2012 17:02Uhr. Die Datei gibt es allerdings immernoch und AntiVir stellt auch einen Fund fest (AntiVir ist auf dem neuesten Stand).

Das Spiel läuft übrigens einwandfrei (da war die Datei noch nicht in Quarantäne).
Hier der Report:

Code: Alles auswählenAufklappen

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 28. September 2012  17:36


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : Mein Name
Computername   : LOKIBRI-DESK

Versionsinformationen:
BUILD.DAT      : 13.0.0.2677    48277 Bytes  24.09.2012 15:12:00
AVSCAN.EXE     : 13.4.0.178    625440 Bytes  24.09.2012 08:59:25
AVSCANRC.DLL   : 13.4.0.163     64800 Bytes  19.09.2012 17:20:53
LUKE.DLL       : 13.4.0.163     66848 Bytes  19.09.2012 17:16:01
AVSCPLR.DLL    : 13.4.0.184     93984 Bytes  28.09.2012 01:40:54
AVREG.DLL      : 13.4.0.180    245536 Bytes  24.09.2012 11:05:45
avlode.dll     : 13.4.0.184    418080 Bytes  28.09.2012 01:40:54
avlode.rdf     : 13.0.0.24       7196 Bytes  28.09.2012 01:40:54
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF   : 7.11.41.251     2048 Bytes  06.09.2012 13:42:40
VBASE008.VDF   : 7.11.41.252     2048 Bytes  06.09.2012 13:42:40
VBASE009.VDF   : 7.11.41.253     2048 Bytes  06.09.2012 13:42:40
VBASE010.VDF   : 7.11.41.254     2048 Bytes  06.09.2012 13:42:40
VBASE011.VDF   : 7.11.41.255     2048 Bytes  06.09.2012 13:42:40
VBASE012.VDF   : 7.11.42.0       2048 Bytes  06.09.2012 13:42:40
VBASE013.VDF   : 7.11.42.1       2048 Bytes  06.09.2012 13:42:40
VBASE014.VDF   : 7.11.42.65    203264 Bytes  09.09.2012 13:42:40
VBASE015.VDF   : 7.11.42.125   156672 Bytes  11.09.2012 13:42:40
VBASE016.VDF   : 7.11.42.171   187904 Bytes  12.09.2012 13:42:40
VBASE017.VDF   : 7.11.42.235   141312 Bytes  13.09.2012 13:42:40
VBASE018.VDF   : 7.11.43.35    133632 Bytes  15.09.2012 13:42:40
VBASE019.VDF   : 7.11.43.89    129024 Bytes  18.09.2012 13:42:40
VBASE020.VDF   : 7.11.43.141   130560 Bytes  19.09.2012 17:02:38
VBASE021.VDF   : 7.11.43.187   121856 Bytes  21.09.2012 07:40:42
VBASE022.VDF   : 7.11.43.251   147456 Bytes  24.09.2012 08:56:45
VBASE023.VDF   : 7.11.44.43    152064 Bytes  25.09.2012 01:40:50
VBASE024.VDF   : 7.11.44.103   165888 Bytes  27.09.2012 01:40:50
VBASE025.VDF   : 7.11.44.104     2048 Bytes  27.09.2012 01:40:51
VBASE026.VDF   : 7.11.44.105     2048 Bytes  27.09.2012 01:40:51
VBASE027.VDF   : 7.11.44.106     2048 Bytes  27.09.2012 01:40:51
VBASE028.VDF   : 7.11.44.107     2048 Bytes  27.09.2012 01:40:51
VBASE029.VDF   : 7.11.44.108     2048 Bytes  27.09.2012 01:40:51
VBASE030.VDF   : 7.11.44.109     2048 Bytes  27.09.2012 01:40:51
VBASE031.VDF   : 7.11.44.120    20480 Bytes  27.09.2012 01:40:51
Engineversion  : 8.2.10.176
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.56      459131 Bytes  24.09.2012 13:06:58
AESCN.DLL      : 8.1.9.2       131444 Bytes  28.09.2012 01:40:53
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.1.9.15      639348 Bytes  27.08.2012 13:50:15
AEPACK.DLL     : 8.3.0.36      811382 Bytes  19.09.2012 13:42:55
AEOFFICE.DLL   : 8.1.2.48      201082 Bytes  24.09.2012 13:06:59
AEHEUR.DLL     : 8.1.4.104    5280119 Bytes  24.09.2012 13:06:58
AEHELP.DLL     : 8.1.24.0      258423 Bytes  28.09.2012 01:40:53
AEGEN.DLL      : 8.1.5.38      434548 Bytes  28.09.2012 01:40:52
AEEXP.DLL      : 8.2.0.2       115060 Bytes  28.09.2012 01:40:53
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.28.2      201079 Bytes  28.09.2012 01:40:52
AEBB.DLL       : 8.1.1.0        53618 Bytes  27.08.2012 13:50:12
AVWINLL.DLL    : 13.4.0.163     25888 Bytes  19.09.2012 17:09:30
AVPREF.DLL     : 13.4.0.163     50464 Bytes  19.09.2012 17:07:51
AVREP.DLL      : 13.4.0.163    177952 Bytes  19.09.2012 17:08:15
AVARKT.DLL     : 13.4.0.163    260384 Bytes  19.09.2012 17:05:20
AVEVTLOG.DLL   : 13.4.0.163    167200 Bytes  19.09.2012 17:06:15
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.4.0.163     62240 Bytes  19.09.2012 17:08:54
NETNT.DLL      : 13.4.0.163     15648 Bytes  19.09.2012 17:16:26
RCIMAGE.DLL    : 13.4.0.163   4780832 Bytes  19.09.2012 17:21:16
RCTEXT.DLL     : 13.4.0.163     68384 Bytes  19.09.2012 17:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: ShlExt
Konfigurationsdatei...................: C:\Users\Mein Name\AppData\Local\Temp\b349b30d.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: D:, 
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 28. September 2012  17:36

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\Spiele\Steam\SteamApps\common\left 4 dead 2\left4dead2'
D:\Spiele\Steam\SteamApps\common\left 4 dead 2\left4dead2\bin\A0C5F695-4F8C-4464-9CF7-0FCEA60B7996
    [0] Archivtyp ZIP
    --> s
        [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
        [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden

Beginne mit der Desinfektion:
D:\Spiele\Steam\SteamApps\common\left 4 dead 2\left4dead2\bin\A0C5F695-4F8C-4464-9CF7-0FCEA60B7996
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51a465c2.qua' verschoben!


Ende des Suchlaufs: Freitag, 28. September 2012  17:39
Benötigte Zeit: 02:22 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

    412 Verzeichnisse wurden überprüft
  55291 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
  55290 Dateien ohne Befall
     28 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         

Habe es mal in die Quarantäne verschoben, bekomme es da aber nicht mehr raus (angeblich zu geringe Rechte, muss ich wohl nochmal was einstellen). Nach verschieben in die Quarantäne läuft das Spiel auch einwandfrei.