AOL-Account geknackt -> Spamversand; Suche nach der Schwachstelle
 

Hallo liebes Trojaner-Board,

leider muss ich euch bei einem Sicherheitsproblem in meinem Email-Account mal um Hilfe bitten.

Vor 2 Tagen erhielt ich im Laufe des Tages von nem Kumpel ne Mail, dass Spam von meiner AOL-Emailadresse verschickt werden würde.

Dem war auch so. Habe mich über das Web-Interface bei AOL auf dem heimischen PC eingeloggt und dort wurde eine Spam-Mail an eine mir bekannte Email-Adresse aus meinem Adressbuch geschickt, diese dann wiederum als BBC (CC???) an weitere Personen aus dem Adressbuch - der Versand muss also tatsächlich von meinem Account stattgefunden haben - die Email befand sich auch im Ordner "Versendet". Ergo hat sich wohl jemand meine Zugangsdaten zum Account besorgt.

Nachdem ich dann das Passwort geändert und mich bei den Leuten per Mail entschuldigt habe, habe ich bis heute auch erstmal Ruhe gehabt bzgl. Spamversand. Aber ich bin jetzt natürlich auf der Suche nach der Sicherheitslücke. Ich nutze meinen Email-Account wirklich ausschließlich vom heimischen PC sowie von meinem Smartphone. Persönlich habe ich mein Smartphone im Verdacht (Whatsapp etc....)....

Klar, beim Smartphone könnt ihr mir nicht helfen, aber vielleicht beim PC.

Ich habe logischer Weise erstmal einen Scan mit dem Antivirenprogramm gemacht (GDATA - kein Fund).

Dann habe ich wie aus der Anleitung hier im Board erst Malwarebytes durchlaufen lassen - auch ohne Fund. Anschließend dann "defogger" - keine Fehlermeldung. OTL habe ich dann auch laufen lassen.

Ich habe meine Emails auf dem PC bis dato immer mit Outlook2010 abgerufen - niemals über das Webinterface. Bei Outlook sind noch 2 weitere Konten gespeichert, die aber bisher ohne Spamversand sind. Seltsamer Weise waren bei meinem AOL-Account über das Webinterface ausschließlich die Empfänger der Spam-Mail im Adressbuch eingetragen, obwohl ich bei AOL selber nie Adressen eingetragen habe.

Naja, lange Rede - kurzer Sinn: bitte prüft mal die angehängten Logfiles, ob sich da bei mir was auf dem PC eingeschlichen hat. Ansonsten werde ich mein Smartphone verteufeln (ist bereits neu aufgesetzt - Samsung S2 Android).

Bin für jeden Tipp dankbar, wie ich die Sicherheitslücke noch finden könnte.

Danke schon mal im Vorraus!

Die Logfiles sind alle im Anhang - waren zu lang für den Post.

Du meinst CC und BCC - BCC ist Blindkopie, vgl. Header (E-Mail)


Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Habe Malwarebytes zum ersten mal installiert und drüber laufen lassen. Habe lediglich kurz vorher einen Scan gemacht, den ich aber nach kurzer Zeit abgebrochen habe, da ich mir nicht sicher war, ob ich alle relevanten Laufwerke markiert hatte. Dazwischen habe ich am System nichts gemacht - den zweiten Scan hab ich unmittelbar nach dem ersten abgebrochenen Scan gestartet.

Leider konnte ich die Logs auch nicht mit dieser "Code-Methode" posten - Text besteht dann angeblich aus ca. 490000 Zeichen - soll die Logs als Archiv anhängen. Hab ich ja bereits beim ersten Post gemacht...

Wenn ich einfach nur zu doof zum posten der Logs bin, bitte noch mal bescheid sagen :-)

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Poste nun den Inhalt der log.txt.


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

So, Eset ist durchgelaufen - hat wohl auch nichts gefunden. Hier das Log:

Wurde das Passwort vom Mailkonto geändert?
Wenn nein: Bitte umgehend jetzt machen!

Wenn ja: Hattest du ein zu einfaches Passwort? Beschreib mal wie das Passwort vorher war, also Länge und Zeichensatz.
Ein schwaches Passwort besteht zB nur aus kleinen Buchstaben oder nur aus Zahlen und ist kürzer als 8 Stellen.

Das Passwort wurde bei dem Spamversand nicht geändert - ich kam also mit dem alten Passwort in meinen Account rein und habe das alte sofort geändert.

Zugegebener Maßen war das alte PW ziemlich schwach. 2 Zahlen (2x die gleiche) und 5 Buchstaben (Wort ohne Groß- und Kleinschreibung). Der Account existiert schon zeit geschätzt 10 Jahren - hätte es besser mal im Laufe der Zeit ändern sollen.

Spammails habe ich bei Zeiten natürlich auch mal erhalten - aber nie übermäßig viele.

Moin, ich bins nochmal.

Nur für mich zum Verständnis: Kommt hier in dem Post nochmal so ne Art Abschlussbesprechung oder war die Frage nach dem Passwort quasi ein Wink mit dem Zaunpfahl so in Richtung Brute Force ?

Findet hier in dem Post auch eine Log-Analyse statt oder müsste ich das noch mal in das entsprechende Unterforum reinhauen?

Ansonsten bedanke ich mich schon mal für die Hilfe bisher :dankeschoen:

Wollte jetzt nicht drängeln - weiß nur nicht, ob ich nochmal auf ne Antwort warten soll oder ob die Sache quasi gegessen ist :daumenhoc

Man sieht ja in den Logs, dass dein Rechner offensichtlich nicht befallen ist
Passwort hast du geändert und ich hab das jetzt so verstanden, dass das Problem behoben ist

Okay, das hatte ich so direkt noch nicht geschnallt, dass die Logs alle sauber waren. Dann hat sich die Sache damit auch für mich erledigt.

Bedanke mich ganz herzlich für die tolle Hilfe - habe hier auch sonst noch einige interessante Threads für mich gefunden. Daumen hoch für euch !!!

wichtig ist:
für jeden dienst, muss man ein extra passwort nutzen!

Ja, zum Glück hab ich das für fast alle Dienste auch so gemacht.

Grundsätzlich sollte man vielleicht auch mal ab und an seinen Posteingang ausmisten... Ich hab bei relativ vielen Diensten erstmal die Passwörter zur Sicherheit geändert... Glaube, mit den Mails da drin hätte man schon ordentlich Blödsinn anfangen können... Naja, bis zur Passwortänderung hatte keiner auf meinen Namen eingekauft oder sowas in der Richtung.

Kennst du KeePass?
Damit kannst du einfach, sicher und komfortabel alle Passwörter verwalten