Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner hat Email Passwort ausgespäht (https://www.trojaner-board.de/96586-trojaner-hat-email-passwort-ausgespaeht.html)

der-da 17.03.2011 16:06
Trojaner hat Email Passwort ausgespäht
 
Einem Bekannten wurde der Email-Account von Provider gesperrt, da über seine Emailadresse Spam verschickt wird. Laut Aussage des Providers, meldet sich der Spamversender mit korrekten Benutzerdaten an. Also muss irgendetwas das Passwort ausgespäht haben.
Dem Header der in den zurückkommenden Mailer-Deamon mails zu finden ist, nach, wurden die Mails von einer Chinesischen IP verschickt, der Rechner selber scheint also keine Mail-Bombe zu sein.

Soweit zur Vorgeschichte. Es wäre nett, wenn der Experte, der sich dem Problem annimmt, ein paar Details zu seinen Anweisungen schreiben kann, wenn dies nicht zu viel Aufwand bedeutet. Mich interessiert die Materie, ich habe leider inmoment keine Zeit die Trojaner-Board Akademie zu absolvieren. :)

Scanner Ergebnisse sind im Anhang:

Antivir findet bei Suchlauf nichts.

Zu MBAM:
PUP.Dealio müsste von der PDFforge Toolbar kommen. PDFcreator ist auf jeden Fall installiert.
Warum er nur bei PUM.Hijack.StartMenu auf entfernen gedrückt hat weiss ich leider nicht. Ich hoffe es ist nicht schlimm für die weitere Diagnose.

Zu OTL:
Beim ersten Scanversuch kam eine Fehlermeldung: Windows - Kein Datenträger - Exception Processing message ...... . Der Zweite lief durch.
Die Hosts Datei sieht ja schonmal vollgemüllt aus.


Danke schonmal im Vorraus :daumenhoc

cosinus 17.03.2011 21:43
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

der-da 17.03.2011 22:11
Nein. Malwarebytes wurde erst installiert, nachdem das Problem auftrat.

cosinus 18.03.2011 11:44
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = DOMAINNAME.de
Ist das ein Bürorechner in einer Windows-Server-Domäne? :pfeiff:

der-da 18.03.2011 12:23
Jain. Ist ein Ex-Firmenlaptop, die Domänenzugehörigkeit wurde beibehalten, da ab und zu noch Freiberuflich für die Fa. gearbeitet wird.

cosinus 18.03.2011 13:17
Warum wurde wenn es früher ein Firmengerät war nicht neu aufegesetzt? Was will man in den Altlasten rumwühlen?

der-da 18.03.2011 13:46
Da hast Du natürlich nicht ganz unrecht. Neuinstallation ist eh eine Option, allerdings besteht ja die Gefahr, dass man sich den Schädling wieder einfängt, zB von einem Backup, da er ja anscheinend unter dem Radar von AntiVir und Malwarebytes durchgeht. Deshalb dachte ich, dass ein lokalisieren des Schädlings sinnvoll ist.

cosinus 18.03.2011 13:48
Zitat:
dass man sich den Schädling wieder einfängt, zB von einem Backup
Sinnvollerweise landet im Backup nur ungefährliches und keine Programme!

der-da 18.03.2011 15:28
Wird wohl mit einer Neuinstallation enden.

Danke trotzdem für die Hilfe.


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19