Mein AOL E-Mail Account versendet Spammails an meine Kontakte Outlook2007
 

Hallo
bin neu hier und recht verzweifelt. Sorry, wenn ich etwas nicht richtig mache oder was falsch poste aber bin nicht sehr geübt darin.
Zu meinem Problem:
Seit gestern wird von meinen E-mail account Spammails an alle die in meinem Outlook konakt sind und an alle möglichen auch mir unbekannte Adressen verschickt. Habe über 150 Rückmails von AOL MAILER-DAEMON@aol.com bekommen. Bin dann mit dem Rechner vom Netz gegangen. Antivir zweimal durchlaufen lassen. (kein Virus oder anders gefunden)
Hab jetzt HijakThis 204 durchlaufen lassen (kann aber mit dem Logfile nicht anfangen) Nun hat Malwarebytes einen Fund (der laut Googel nicht wirklich gefährlich ist). Wer oder was versendet dann diese Mails??
Füge alle Logfiles an und hoffe ihr Profis können mir helfen. :dankeschoen:
PS. Mein AOL Account ist inszwischen gesperrt worden (wollte mein Passwort ändern) Die .log von AntiVir und HijakThis hab ich in .txt umbenannt sonst kann ich sie nicht hochladen

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
Anleitung:-> GMER - Rootkit Scanner

2.
Kontrolle mit MBR -t, ob Master Boot Record in Ordnung ist (MBR-Rootkit)

Mit dem folgenden Tool prüfen wir, ob sich etwas Schädliches im Master Boot Record eingenistet hat.

• Downloade die MBR.exe von Gmer und
  kopiere die Datei mbr.exe in den Ordner C:\Windows\system32.
  Falls Du den Ordner nicht sehen kannst, diese Einstellungen in den Ordneroptionen vornehmen.
  
• Start => ausführen => cmd (da reinschreiben) => OK
  es öffnet sich eine Eingabeaufforderung.
  
  Vista- und Windows 7-User: Start => Alle Programme => Zubehör => Rechtsklick auf Eingabeaufforderung und wähle Als Administrator ausführen.
  
• Nach dem Prompt (>_) folgenden
  
  aus der Codebox manuell eingeben oder alternativ den mit STRG + C ins Clipboard kopieren und einfügen.
  Einfügen in der Eingabeaufforderung: in der Titelleiste einen Rechtsklick machen => Bearbeiten => einfügen.
  
  
  Code:

  ---

  mbr.exe -t > C:\mbr.log & C:\mbr.log

  ---

  (Enter drücken)
  
• Nach kurzer Zeit wird sich Dein Editor öffnen und die Datei C:\mbr.log beinhalten.
  Bitte kopiere den Inhalt hier in Deinen Thread.

3.
lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

4.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

5.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

6.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Hallo Coverflowhttp://www.trojaner-board.de/images/...ankeschoen.gif
vielen Dank das du dich mir annimmst!
Habe GMER runtergeladen (und nach Anleitung ausgeführt)
Hier das Log:

GMER Logfile:
--- --- ---

Ich hab es auch gleich ins Notepad kopiert und häng es noch als txt an.
Mit dem Teil 2 muss ich mich erstmal reinarbeiten (so gut sind meine PC Kenntnisse leider nicht)
HijackThis 2.0.4 hab ich bereits benützt und den Logfile hochgeladen.
CCleaner (installierte Programme) häng ich dran
Ich hoffe du kannst was entdecken.
PC funktioniert sonst einwandfrei. Aber es ist blöd wenn man nicht weiß, wie es passieren kann, dass jemand deine Mailadresse benützen kann um Spam zu verteilen. Freunde vertrauen der Adresse. so ein Mist.
Vielen Dank nochmal
Gruß remymartines

- HijackThis Trend Micro - wo hast Du "hochgeladet"? kopiere bitte die Ergebnisse hier rein!

- ausserdem Punkt 5. fehlt auch noch!

Hallo Coverflow
Bin gerade viel unterwegs und konnte leider nicht druchgehend am PC arbeiten.
Ich hab jetzt Punkt 2 erledigt (ich hoffe auch korrekt)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.1.7601 Disk: SAMSUNG_HD753LJ rev.1AA01118 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS intelide.sys PCIIDEX.SYS atapi.sys dxgkrnl.sys atikmpag.sys atikmdag.sys dxgmms1.sys
C:\Windows\system32\DRIVERS\atikmpag.sys Advanced Micro Devices, Inc. AMD driver
C:\Windows\system32\DRIVERS\atikmdag.sys ATI Technologies Inc. ATI Radeon Family
1 ntkrnlpa!IofCallDriver[0x82C8652F] -> \Device\Harddisk0\DR0[0x86157030]
3 CLASSPNP[0x8B38A59E] -> ntkrnlpa!IofCallDriver[0x82C8652F] -> [0x86069328]
5 ACPI[0x8AEBB3D4] -> ntkrnlpa!IofCallDriver[0x82C8652F] -> \Device\Ide\IdeDeviceP0T0L0-0[0x853BB908]
kernel: MBR read successfully
user & kernel MBR OK

Punkt 3 hatte ich schon gemacht
hier der Logfile:
HiJackthis Logfile:
--- --- ---

Nun zu Punkt 5
Hjtscanlist Logfile:
Ich hoffe ich hab alles richtig gemacht und du kannst mit den Ergebnissen etwas anfangen. Wenn nämlich kein Fehler Trojaner oder Virus ect entdeckt wird, weiß ich immer noch nicht wie es dazu kommen konnte. Ich bin ziemlich ratlos. Das System komplett neu aufsetzen ist sehr aufwendig. http://www.trojaner-board.de/images/smilies/heulen.gif
Hoffentlich kannst du mir helfen.
Vielen Dank dafür
Gruß
remymartines

Da ist nichts schlimmes dabei...

1.
Sollte man von Zeit zu Zeit die Inbox komprimieren:

Starte dein Mailprogramm, lösche den Inhalt aus der Inbox und leere dann den Papierkorb deines Mail-Programms:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren - (im Menü Datei, Alle Ordner des Kontos komprimieren)

Ausserdem auch gute Idee:-> Anzeigen von E-Mail-Nachrichten im Nur-Text-Format

2.
Mache bitte ein Rechtsklick auf den AntiVir-Schirm in der Taskleiste → AntiVir starten → Übersicht → Ereignisse
jeden Fund markieren → Rechtsklick auf Funde → Ereignis(se) exportieren
und als Ereignisse.txt auf dem Desktop speichern und den Inhalt hier posten.

3.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 24 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

4.
Temp Ordner leeren:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst
oder klicke auf Start-> Suche-> %temp% reinschreiben...Inhalt markieren-> löschen

5.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

6.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

7.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Nod32 durch
- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

Hallo Coverflow
Vielen Dank für deine Hilfe.
Das du nichts schlimmes gefunden hast, macht mich leider nicht wirklich glücklich! Da ich jetzt gar keine Anhaltspunkt habe, wie das passieren konnte, dass jemand meinen E-Mailaccount missbrauchen konnte um Spammails versenden zu können. Verzweiflung!! Das es sein dass mein PC garnicht infiziert ist sonder der AOL Server? In meinem Outlook sind die Spammails als gesendet rausgegangen (Zeit zwischen 5.00 - 6.00Uhr) da war ich noch im Bett und mein PC hat auch geschlafen (nicht online). Wie kann das sein????
Ich trau mich nicht wirklich ein neus Mailkonto einzurichten (ohne Ursachenkenntniss) Es ist sowieso ein riesen Aufwand die Mailadresse zu wechseln und alle zu informieren. So ein Mist.
Eigentlich achte ich sehr auf Sicherheit (Antivir update, Win7 update, NoSkript, halte alle Programme (meist) auf aktuellen Stand, Firewall , öffne keine unbekannten Mails oder Anhänge, CCleaner regelmäßig (Temp mit gelöscht) ect.

Das Ergebnis von SuperAntiSpyware:
SUPERAntiSpyware Scann-Protokoll
hxxp://www.superantispyware.com

Generiert 04/03/2011 bei 11:42 AM

Version der Applikation : 4.50.1002

Version der Kern-Datenbank : 6741
Version der Spur-Datenbank : 4553

Scan Art : kompletter Scann
Totale Scann-Zeit : 00:22:37

Gescannte Speicherelemente : 800
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 9096
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 25483
Erfasste Datei-Elemente : 0

AntiVir Funde:
Exportierte Ereignisse:

08.03.2011 10:23 [Scanner] Malware gefunden
Die Datei
'C:\Users\Martin\AppData\Local\Mozilla\Firefox\Profiles\d2kctei8.default\Cache\2
CD7F138d01'
enthielt einen Virus oder unerwünschtes Programm 'HTML/FakeAlert.I' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b54de.qua'
verschoben!

OnlineScan gleich am Anfang gemacht (F-Secure) auch kein Fund

Jetzt weiß ich nicht mehr weiter. Was denkst du? kann ich meine PC wieder benützten (ohne Neuinstallation) ? Was könnte noch Ursache sein?
Vielen Dank!!!!!!!nochmal für deine Unterstützung!!!!!!!
Es ist schön zu wissen dass es noch Menschen gibt die uneigennützig anderes Helfen. Ich weiß es wirklich zu schätzen.
Lieben Gruß
remymartines

PS
Soll ich zum Abschluss alle zum Scan benützten Programme wieder deinstallieren? Nicht dass sich die AntiVir gegenseitig blockieren. Was soll ich auf jeden Fall drauf lassen und verträgt sich mit dem AntiVir?
Danke
Gruß
remymartines

Punkt 7. bitte noch!:-> http://www.trojaner-board.de/97040-m...tml#post635434
.

Hallo Coverflow
Hab Punkt 7 erledigt
ein Fund

Log:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6425
# api_version=3.0.2
# EOSSerial=0648d67d464a8c4cbd5e08bed96a9c49
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-04-03 09:48:05
# local_time=2011-04-03 11:48:05 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 94 546882 38394455 31365 0
# compatibility_mode=5893 16776573 100 94 165983 53488790 0 0
# compatibility_mode=8192 67108863 100 0 145 145 0 0
# scanned=109470
# found=1
# cleaned=1
# scan_time=9687
E:\Daten Martin\Downloads\unlocker1.9.0.exe Win32/Adware.ADON Anwendung (gelöscht - in Quarantäne kopiert) 00000000000000000000000000000000 C

hab ich bei Chip runtergeladen (löscht auch zickige Dateien)

Was ist mit dem Fund von malwarebytes? Ist der vielleicht doch nicht so unbedenklich?
Log:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6234

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

01.04.2011 14:59:00
mbam-log-2011-04-01 (14-58-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 227838
Laufzeit: 24 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Danke
Gruß
remymartines

hallo Coverflow
mir ist noch etwas eingefallen, was vielleicht das Problem ausgelöst haben könnte. Ich habe am Tag zuvor eine Mail weggeschickt und zum ersten Mal dafür eine Übermittlungbestätigung sowie eine Lesebestätigung anfgefordert.
Kurz darauf erhielt ich eine Bestätigungsmail von postmaster@cp-net.de
Im Anhang zwei txt dateien mit Details. Eine hab ich davon geöffnet um mir die übermittelten Details anzuschauen.
Kann das sein, dass txt Dateien soetwas ausführen können? Das mir jemand eine gefakte Übermittlungbestätigung gesendet hat? Von wem bekommt man die Übermittlungsbestätigung? Vom Shop?
wenn ich nach postmaster@cp-net.de google finde ich nichts.
Kann dass eine Möglichkeit sein, dort weiter nachzuforschen? wie geh ich mit dieser Mail um (hab sie noch nicht gelöscht)

Gruß
remymartines

scheint ja ein Spam Filter Service zu sein, eine Smitfraud-Variante
Hast du jetzt noch irgendwelche Probleme?

Hallo Coverflow

Was bedeutet das?:
scheint ja ein Spam Filter Service zu sein, eine Smitfraud-Variante
kann durch das öffnen dieser TXT ein solcher Vorgang ausgelöst werden?

Probleme hab ich eigentlich keine, da ja mein Mailaccount bei AOL gelöscht worden ist und ich auch nicht vorhabe ihn zu reaktivieren.
Hab mir eine neue Mailadresse zugelegt. Ich bin mir nur nicht sicher ob ich dieses Mailkonto auch am invizierten PC einrichten kann. Reicht es (wenn dies die Ursache war) diese Mail einfach im Outlook zu löschen? Oder komm ich um eine Neuinstallation nicht rum?
Danke
Gruß
remymartines

Bei nicht klicken auf Spam (also nicht öffnen) passiert normalerweise nichts und eine Nachricht als SPAM, wenn nur im Text-Format geöffnet wird, kann auch nicht passieren. Voraussetzung auch, dass Du darauf nicht reagierst/antwortest

Hallo Coverflow

leider beantwortet dies nicht meine Frage, wie ich jetzt damit umgehen soll.
Soll ich eine Neuinstallation machen? Reicht es wenn ich die vermutliche Spam lösch? Was soll ich tun?
Vielen Dank für deine Hilfle
Gruß
remymartines