Trojaner-Board - Ominöse Emails werden ohne mein Zutun versendet

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ominöse Emails werden ohne mein Zutun versendet (https://www.trojaner-board.de/114264-ominoese-emails-ohne-zutun-versendet.html)

Ominöse Emails werden ohne mein Zutun versendet

Hallo zusammen,

seit ca. einem Monat werden ohne mein Zutun ominöse Emails an Teile meiner Kontakte versendet. Letztens hat mich jemand meiner Freunde darauf angesprochen, und es trudeln auch in regelmäßigen Abständen BenachrichtigungsEmails bei mir ein, dass irgendwelche Emails (ich vermute, dass es diese komischen sind, die bei manchen meiner Kontakte ankommen) an manche Personen nicht verschickt werden konnten.

Hier ist eine Benarchtigungsemail, die bei mir ankam: (Sie kommen meistens in 4er Packen, immer an andere Leute adressiert:

Zitat:

Von: "MAILER-DAEMON@yahoo.com" <MAILER-DAEMON@yahoo.com>
An: #meinName#
Gesendet: #Datum#
Betreff: Failure Notice

Sorry, we were unable to deliver your message to the following address.

<#nameEinesKontakts1#@yahoo.com>:
Remote host said: 554 delivery error: dd Sorry your message to #nameEinesKontakts1#@yahoo.com cannot be delivered. This account has been disabled or discontinued [#102]. - mta1027.mail.ac4.yahoo.com [BODY]

--- Below this line is a copy of the message.

Received: from [77.238.189.54] by nm24.bullet.mail.ird.yahoo.com with NNFMP; 28 Apr 2012 07:28:30 -0000
Received: from [212.82.108.246] by tm7.bullet.mail.ird.yahoo.com with NNFMP; 28 Apr 2012 07:28:30 -0000
Received: from [127.0.0.1] by omp1011.mail.ird.yahoo.com with NNFMP; 28 Apr 2012 07:28:30 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 500279.30928.bm@omp1011.mail.ird.yahoo.com
Received: (qmail 93602 invoked by uid 60001); 28 Apr 2012 07:28:30 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.de; s=s1024; t=1335598110; bh=iNe30CNjrhfgwUd9WB1WyP9KbuH9wxTaZ+2XBVLyiTg=; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Reply-To:To:MIME-Version:Content-Type; b=BI+AWUFqwn0+mlXmECPeeeye9Wn5/QNZ1ThxX3m9QO28Lt0zAKoENfR6tQljchTdQZzz3FEbz7dEh7FRDnFea0zUpKENNIcbi1IItmpLez96s61vVtPBRVNj8LDGA4iGEDbN2iPUmudBMjo2U+/w6Mg9QirLJGU7YtPLNN1u3Zs=
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.de;
h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Reply-To:To:MIME-Version:Content-Type;
b=13zY/+Ib/0MNrGTVRauouNsn4XIQiK/zKYr4kcfeJ3IL8YnAUdBDmE6snNgXkxHJCeditO6+GDePHgBTZ43zYc/726NUGArPeCO3ChHohe4e9WEcTFpkNvhlT0M7kgnoZwQyyCVXKvYMrcvrBhHer+HUCWQukhusHMbg5RkUN3g=;
X-YMail-OSG: h_eKsowVM1ki8bd8t2CMtGFhWLm9xImBeG7E_eFoMQfxmEP
bjvSc7joEOpWjaAVD4weEOAd1Wlld4bjUFY75H7SHS_X8lrz0ZgQkmIYPdyE
Xp0z0qCuxidXf6MIOFzUL40KHAsWR7LZ7lC1QRa8Lk9fQ7UhH8YUytjMAHWW
YV42olf5db7I.zUI9Ps_Mqt2RKvg5FIxb6aRRcka.Do.jEasOii0eUf2zLMk
5dJ3wryIBnXJ5gdHw_M0k7L47tpL21g8jz2II9gmbq2QFRZ4wrZ2INJCGfK8
zx9mgjlyWTPGRmyF5B1LXTwr2nlY158i2xgpUMrWuesRRp0.ogfJeSfzWV7s
cS0Q_xV324UoxK4mHjEZwTBX0a4le0IUh3SAFNPQAACBbEUZD4yY3kdRsVdI
tvhBWM0J20NGRgtHBpJXvF9HVUcXcjm3gA_3fMG3RDaXon88a8tCox4gMCwt
z1HXDQuArZzTuujmWw3L9kBPPOQst5dbbTNANBs1Q_8Ha7RG6ja0In02wr.Q
QOefVVKG0IFTRHZgoMCQUdavm12V9j0zwkr7BOsGnQ2VPVZu818WT5Jq0vOG
29XBg6NRe2mI-
Received: from [178.235.139.135] by web171604.mail.ir2.yahoo.com via HTTP; Sat, 28 Apr 2012 08:28:30 BST
X-Mailer: YahooMailWebService/0.8.117.340979
Message-ID: <1335598110.92122.YahooMailNeo@web171604.mail.ir2.yahoo.com>
Date: Sat, 28 Apr 2012 08:28:30 +0100 (BST)
From: #meinName# <#meinName#@yahoo.de>
Reply-To: #meinName# <#meinName#@yahoo.de>
To: #nameEinesKontakts2#@aol.com,#nameEinesKontakts1#@yahoo.com, #nameEinesKontakts3#@vonameln.com, ... // und noch ~ 8 weitere
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="435439028-802913127-1335598110=:92122"

--435439028-802913127-1335598110=:92122
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable

hxxp://ribbonpaint.com/.indxr/extensions/bmorn.html?azj=3Dqg.ffxrff&rr=3Dnn=
.jgzg&ggyj=3Dxuas
--435439028-802913127-1335598110=:92122
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printable

<html><body><div style=3D"color:#000; background-color:#fff; font-family:ti=
mes new roman, new york, times, serif;font-size:12pt"><a href=3D"hxxp://rib=
bonpaint.com/.indxr/extensions/bmorn.html?azj=3Dqg.ffxrff&rr=3Dnn.jgzg&ggyj=
=3Dxuas"> hxxp://ribbonpaint.com/.indxr/extensions/bmorn.html?azj=3Dqg.ffxr=
ff&rr=3Dnn.jgzg&ggyj=3Dxuas</a></div></body></html>
--435439028-802913127-1335598110=:92122--

(Wenn in der Email noch relevante Informationen sind die Rückschlüsse auf meine Person oder andere Personen geben könnten, bitte editieren).

"hxxp://ribbonpaint.com/.indxr/extensions/bmorn.html?azj=3Dqg.ffxrff&rr=3Dnn=
.jgzg&ggyj=3Dxuas" scheint vermutlich der Link zu sein, den meine Kontakte bekommen. Ich habe ihn nicht geöffnet, aber mal nach "hxxp://www.ribbonpaint.com/" gesucht, und diese Seite sieht nicht bösartig aus? Dennoch: Diese Emails habe ich ja nicht verschickt ... (und ich weiß grad nicht ob nicht auch andere Links verschickt werden).

Ich habe Avira einen Systemscan durchführen lassen, es findet "versteckte Objekte". Aber dies scheint ja ein Bug seites Avira zu sein.

Was kann ich tun? (Und ist es eigentlich sicherer, die Emails über Outlook / Thunderbird / ... oder über das Webinterface abzurufen?)

Hast du schon das Passwort zu deinem Mailkonto geändert?

Ok, ich werde es tun, aber ist mir damit denn endgültig geholfen?

Es muss sich doch irgendein Programm/Virus/ etc. auf meinem Rechner befinden, der sich einloggt und die Emails abschickt oder ähnliches -
mit dem Ändern des Passworts wäre dieser Schädling doch weder beseitigt, noch würde damit ausgeschlossen, dass das gleiche nochmal passiert, oder?

Danke für deine Antwort!

Zitat:

Ok, ich werde es tun, aber ist mir damit denn endgültig geholfen?

Hat das wer behauptet?
Es war als Idee zur Sofortmaßnahme gedacht, ich fragte nach ob du das schon gemacht hast, damit zumindest dem Missbrauch erstmal ein Riegel vorgeschoben ist!

Zitat:

Es muss sich doch irgendein Programm/Virus/ etc. auf meinem Rechner befinden, der sich einloggt und die Emails abschickt oder ähnliches -

Wer sagt das? Das ist nur eine Vermutung
Wenn dein Passwort zu einfach zu erraten ist brauchst es keine Schädlinge!

Zitat:

mit dem Ändern des Passworts wäre dieser Schädling doch weder beseitigt, noch würde damit ausgeschlossen, dass das gleiche nochmal passiert, oder?

Sofern denn ein Schädling überhaupt im Spiel ist :pfeiff:

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

MalwarebtesLog:

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.05.01.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

MEINNAME :: MEINNAME2 [Administrator]
 

01.05.2012 08:36:31

mbam-log-2012-05-01 (08-36-31).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 308679

Laufzeit: 1 Stunde(n), 19 Minute(n), 6 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Der andere Scan hat keine Threats gefunden.
(Die Logfile kann ich gerade nicht posten - er ist ca 2 Stunden gelaufen, nachdem ich den Befehl ins AusführenFenster geschrieben habe kam: C:\Program Files\Eset\Eset Online Scanner bezieht sich auf einen Pfad der nicht verfübar ist. [..] Zudem kam, nachdem ich auf "Finish" geklickt habe ide Meldung von Windows, dass der ESET Online Scanner ev. nicht richtig installiert worden sei. (Hat aber eigentlich alles vorher geklappt). Vielleicht reicht es auch so?)

So, bists du immer noch der Meinung da sind Schädlinge am Werk? Was hindert dich nun daran das Passwort endlich zu ändern?

Ich habe doch bereits geschrieben, dass ich das Passwort geändert habe.

Was sollten es denn außer Schädlingen sein? Ein Mensch, der mein Passwort herausgefunden hat, sich pro Monate mehrmals einloggt, und in mehreren Happen dicht hintereinander an unterschiedliche Personen Links schickt?

Danke aufjedenfall

Zitat:

Was sollten es denn außer Schädlingen sein?

Schonmal dran gedacht, dass dein Passwort zu einfach gewesen sein könnte?
Evtl. hast du dieses Passwort auch noch woanders in Nutzung? Oder vllt mal auf einem anderen Rechner eingetippt, der infiziert war?