Trojaner: Delf.ADHU in Thunderbird/Mail delivery failed: returning message to sender
 

Hallo,

heute im Lauf des Tages wurden ca. 160 Mails von meinem WEB.de Mailkonto versendet. Davon war ich erstmal geschockt, anscheinend versendet jemand über mein Web.de-Konto Emails.

Ich habe bislang noch gar nichts unternommen außer den AVG Anti-Virus Free Edition Viren-Scan zu starten, der anzeigt, dass ich folgenden Trojaner viermal im Thunderbird Ordner hätte:

"C:\Users\...\AppData\Roaming\Thunderbird\Profiles\c5lf1f99.default\Mail\pop3.web-2.de\Inbox:\Letzte Mahnung 04.09.2012.zip";"Trojaner: Delf.AHDU"

Ich werde gleich von einem anderen Rechner aus alle Passwörter für Mailadressen etc. ändern, ansonsten bin ich grad ziemlich ratlos.

Vielen, vielen Dank schonmal für alle Hilfe!

Gorification

Hallo und :hallo:

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Tatsächlich von deinem Konto oder nur als Absendeadresse deine E-Mail-Adresse?

Hmm, gute Frage. Ich habe wie gesagt im Lauf des 15.11. ungefähr 160 Mails bekommen, die den Betreff "Mail delivery failed: returning message to sender" haben. Daher gehe ich davon aus, das sehr viele Mails von meiner Emailadresse aus verschickt wurden, und eben nur diese 160 zurückgekommen sind, die an eine nicht-existente Adresse verschickt wurden.

Weder bei web.de noch in meinem Thunderbird sind irgendwelche Mails im "Postausgang" bzw "Gesendet" Ordner, die ich nicht kenne. Ich weiß aber nicht, ob das bedeutet, ob die Mails nur meine Absendeadresse hatten, du kennst dich da ja besser aus.

Mal so als Hinweis: spambots geben irgendeine Mailadresse als Absender ein. Das nenn man Adressfälschung.

Was heißt das denn dann konkret? Laut AVG befindet sich ja aber ein Trojaner auf meinem Rechner. Wenn der dann nicht auf mein Emailkonto zugegriffen hat, umso besser. Trotzdem muss ich ihn jetzt ja irgendwie loswerden. Wenn der Trojaner auf mein Emailkonto zugegriffen hätte, würde ich dann versendete Mails im Postausgang von ihm finden?

Nur weil irgendwas in dienem Postfach drin ist heißt das nicht automatisch, das es auch aktiv ist!

Hier nur eine Meldung in der Inbox, mehr nicht! Oder gab es noch andere Funde, die du verschwiegen hast? :wtf:

Die anderen Fragen hast du übrigens noch nicht beantwortet - erst wenn man die vollständigen Kopfdaten einer Mail hat kann man sagen wer die gesendet hat - eine E-Mail-Adresse allein als Absendeadresse hat rein gar keine Aussagekraft weil die von jedem Spambot gefälscht wird!

Hey,

- Nein, es gab keine anderen Funde, lediglich die aus dem Postfach.
- Wie gesagt weiß ich nicht, wie ich herausfinde, ob die Mails von meinem Konto aus gesendet wurden oder nicht. Kannst du mir da helfen?

Falls das was hilft, hier eine der Mails, die ich bekomme:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error. The following address
failed:

<jarred@yahho.com>

--- The header of the original message is following. ---

Received: from server2003.lideranca.local ([201.74.228.219]) by smtp.web.de
(mrweb103) with ESMTPSA (Nemesis) id 0LlFDW-1SzEd30J0w-00b5lU for
<jarred@yahho.com>; Thu, 15 Nov 2012 04:26:27 +0100
MIME-Version: 1.0
Date: Thu, 15 Nov 2012 01:19:16 -0200
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 7.19.5348.7240
Subject: Looking for Manager
From: GorificationsEmailAdresse@web.de
To: "samcooke" <jarred@yahho.com>
Content-Type: text/plain
Content-Transfer-Encoding: quoted-printable
Message-ID: <OUTLOOK-IDM-9e871e3a-91c5-9adf-3879-b7fab8e4c0a1@server2003.lideranca.local>
X-Provags-ID: V02:K0:ekuGxVBYcj4pxUWyTkJWK2mq2PIdM3KAKL3x6n2hhQK
+yxw+1rzykgmOPRb3uhEblXTY0cQxzbPLEfd8Ri76FDP5fX0Yp
4axKij7rmD1fNS6P3thFlhsaxlXoB/HOgtv3MO+PiizlU/1Kll
6/8yegrJ0aau71RM1XEasqhgMTL/5Zg/ZCIHrQ2ppL8nBPpylx
Jxig/gFP8TO7paOJ0ese1bE145KgC4kNC6qld0LWLQ=

Wie man sieht ist meine Mailadresse (Hier als "GorificationsEmailAdresse") als Absender angegeben.

Irgendein Spam über eine brasilianische IP => 201.74.228.219

Zudem gibt der Spambot sein Mailclient als OutlookExpress aus, ich denke das ist die typische Adressfälschung hier mal wieder

Ach, heißt das ich habe gar keinen Trojaner auf dem Rechner?
Das wäre ja super.

Kann ich denn irgendwie unterbinden, dass meine Adresse als Absender benutzt wird? Oder hilft nur Adresse löschen und ne neue erstellen?

Nein. Genausowenig kannst du unterbinden, dass irgendwer einen Brief schreibt und auf dem Umschlag eine beliebige Absendeadresse.