Spam Mails von meiner eMail Adresse aus verschickt
Hallo,
vorgestern hat mein Vater mir erzählt, er hätte eine Spam-Mail von meinem Yahoo Mail-Konto aus erhalten, in der nur ein Link steht. Erschreckend fand ich, dass in der Adresszeile alle Kontakte standen, denen ich jemals eine Mail geschrieben habe. Das seltsame ist, heute um 17Uhr trat das Selbe nochmal auf. Allerdings bin ich heute zu meinen Eltern gefahren und an einem ganz anderen PC, wo ich nichtmal ein Mail Programm drauf nutze. Daher glaube ich nicht das mein PC mit irgendwas infiziert ist, aber woran könnte das sonst liegen?
Diese Spam-Mails sind mir im Moment extrem unangenehm, da sie unter anderem auch an meine Versicherungen und meinen Arbeitgeber verschickt werden. Kann ich dagegen etwas unternehmen?
EDIT: Unter Yahoo Mail wird mir übrigends nicht angezeigt, dass ich etwas versendet habe.
@trovato
Dann eben nochmal Schritt für Schritt: Die erste Spam Mail wurde verschickt als ich Zuhause an meinem PC war. Das war gestern. Heute Mittag bin ich zu meinen Eltern gefahren (ohne meinen PC, der steht also ~100km entfernt von mir). Seitdem bin ich an einem zweiten PC, der hier bei meinen Eltern steht und andem ich heute nichts installiert oder hinzugefügt habe und trozdem ist heute wieder eine Spam Mail verschickt worden. Daher gehe ich davon aus, dass der PC bei mir Zuhause (nicht bei meinen Eltern) nicht die Mails verschickt, weil es ja eben hier an einem komplett anderen PC auch passiert ist.
Wenn in Yahoo nicht angezeigt wird dass etwas versendet wurde, greift ein anderes (spam) Programm auf Deine Daten zu. Ich würd mal nen anständigen Virenscanner drüber laufen lassen oder mal den Spyware Terminator installieren. Da der PC Deiner Eltern auch die Mail empfangen hat, wie Du schreibst, dürfte er ebenfalls infiziert sein.
Ich habe mir eben mal den Header einer solchen Mail angeschaut und rausgefunden, dass jemand die mit meinem Account von Japan aus verschickt hat. Da hat also wohl jemand meine Logindaten. Habe eben erstmal das PW von allem wichtigen geändert. Die Frage ist nur wie konnte jemand da dran kommen.
Ich poste hier mal die Header Datei (persönliche Daten zensiert), villeicht kann jemand da noch was rauslesen:
Zitat:
X-Apparently-To: ***@yahoo.de via 87.248.103.71; Fri, 15 Jun 2012 15:01:49 +0000
Return-Path: <***@yahoo.de>
Received-SPF: none (domain of yahoo.de does not designate permitted sender hosts)
X-YMailISG: 6yoBIb8WLDtrQGJemc.k.HyBlFk_Ra3nJGLClNKTdEf5NSok ef6UMthHIpnJ_lRGuhw.AddKezPsDWyUUD9VQaPsF0ShhiGVzl 9ydOlLNxrw dYGxk9hvfn3wu8LQylibSsZI1pb8jgF5BySLGg4aoVkU6CDu8x cPFpgoQVUp QklvC2EERBa.vsO3GAfQzJ68eNT0O8sKVUFj58.FYovT4Srvh8 jhh.j4upeV 8ZzP4kaAcJmkF8ZE0a_29bC_8swNztQrXPFEQb1PXThICC8Dqq Eojd6Sum3B D9R_TAT0BfHDKovaNE.0PhoZrvYlxEVjOGv2Us3X3tPKEJhyYd 6Abs7Z5H37 w5P7o0trP2a8GHJh1C8gsNVoBADM76dzVHsT75NVKdWU.Pk6.8 a1ueqit1f0 n8h.j1NaEacfzLM.jXVKnlV50CVvEyMuvqbRSsGyjQZFBU_3tb 76dRjFlWEr f6rZmv2pH2zGhX0xP8_AyzVjD..EyFMEF61s2yDO6zCR4ACWuE ymKsT_uaUE WSF09Jl61YineVWgAmBSFL8fybPGa1RCD.W5PCZr2Osll16RaH VANHPD612h uxWhBPqujqLFmpdTQ_igffQfBm5g2kOjyzgx.BudDHmiX3rab2 wFnd2BdHiJ 5hxkT1sXV6lRa_7yskfzEewscm_e24PGAK5_A087gCNWZ3FkOG aBDFPuEdeJ m3Nr0vejiFrpYlcCGix1FnRd4vqDI.U5CfuUB5rpAqQRGxyJaW DDnRbDQtl8 5vQytT.0ys.xHttJdmVBlV2kl.RIr81VLh2SEj4.iGaaBQF1vA k.JdD1A4wf v8dqf9NWI2REyjpZzoZpDCqnnBCyjM8B8MTJQ3n_N5N5i73.0r Csl_QE7Ksu u0FiSmetm7z.uF9AlT4M2FXW1iJQoWb.ZBDA2zRpqcpApYkMqo o7e8GZI2sW LtFkrtLbE.eiuIr2ix5AGs1vCdL3rmcq4IsHU7C4Y0zPajP0nC oSgCkv52SC JyeFD4k.QvGF_Pz7bvgGzw6_UtV.NQnW52up.CanHqxrSCm5Tb aMkx7USLKS PUp1sWRcAmOTM2ohs17fkI70d1ROut2EKVsx.bKDUVLWrx5_gC VrCu_LgMqO 2dVWQrdWT808l6HP.PfGD.T6LZnqrsyggwFmr6Ud1t7fgKH5M_ uzA3GHjKb6 eQ_90w--
X-Originating-IP: [77.238.189.203]
Authentication-Results: mta1092.mail.ukl.yahoo.com from=yahoo.de; domainkeys=pass (ok); from=yahoo.de; dkim=pass (ok)
Received: from 127.0.0.1 (HELO nm8-vm0.bullet.mail.ird.yahoo.com) (77.238.189.203) by mta1092.mail.ukl.yahoo.com with SMTP; Fri, 15 Jun 2012 15:01:49 +0000
Received: from [77.238.189.56] by nm8.bullet.mail.ird.yahoo.com with NNFMP; 15 Jun 2012 15:01:49 -0000
Received: from [212.82.108.120] by tm9.bullet.mail.ird.yahoo.com with NNFMP; 15 Jun 2012 15:01:49 -0000
Received: from [127.0.0.1] by omp1029.mail.ird.yahoo.com with NNFMP; 15 Jun 2012 15:01:49 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Received: (qmail 33648 invoked by uid 60001); 15 Jun 2012 15:01:49 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.de; s=s1024; t=1339772509; bh=/CAdNLstSBwvx1l7OOw341LvyN4L0QQdf0JpZdUvG/M=; h=X-YMail-OSG:Received:X-Mailer:Message-IDate:Fromo:MIME-Version:Content-Type; b=esLj8TiztrHlg825TuvDtV2RcjBZyj5WIntbQI812ukJMNV0 Poi84mlNkOiKhywUCi1Q4nD18lhfxTOG0Lba9EnS06aYKB2evz 0477arlsbLfhDVbx6U9iPslSgCctNBo+9j4NOyO3RqHJZQAfp6 S5ks0g6oQWharl3CTFfrQws=
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.de; h=X-YMail-OSG:Received:X-Mailer:Message-IDate:Fromo:MIME-Version:Content-Type; b=NOzTn/YGMwtO+xDe9vp4kYu0UsJwy6fNDURlZF6NI6Sv7xwMfSqZRADY BEW5k7kAQnjec7plVZCD2NC/h0MHUwOcELqxGA+95Zw5vO2PFQL+4sBJZ8ODKYLn79B5il5jC/KOXyNQpz18hIj4+0nmFEJhHw12+TqeJohSRlfo9pM=;
X-YMail-OSG: Wc5O7q0VM1nTYKmvpsuZa6XkznJrxT8T1.pycQfqXWq53ym qmlh4Y.4BSVU4fMlu4m1OnSz7v9d89dgmrpmrUI3arnSlucy5s q0riaPtv7q zxROKwkkTCOkuSb.uDxyJDg_GZ2_4WHwWZGAA2wGHWe6KNmvjZ NtRLk3KhtH MBJrmNdtAnNalTwRM_NjIEdAqstwKpcAqWbopPOtqoFPJKaGbk 9_R.zKrhC1 WtxUbhO56ilsAEwKh1ZeNWpz4aWEFkPpvhvXqpERuZphhTlqKN 9uPCFew7WY 9CrmjOHRFlgsDbRp.648vRa3BEYfpAlqvJtvP.K4HOe_LP.qq8 EBCcizAs3y SDoSBOyxXBhv_vRqmbMm80AHlgVFMmETOuwplV8RAqo42pAwzn xzZaxEyWge kmVznmrDA48bwqMjzo_6VdhQ78J615T7l9cTKqsGd4fZcpycv. YD4Sf4sfuE LlTfLYPcEj3DdvzTdQOgsQvb7cCEmVGRxmUdnpE57fyuyv5jIb OH2wXq2Cb. QkaCTfCYoQ84FtGM0XCOYqTqJoUvAfdAu7PD1JQ--
Received: from [125.201.85.103] by web28805.mail.ir2.yahoo.com via HTTP; Fri, 15 Jun 2012 16:01:49 BST
X-Mailer: YahooMailWebService/0.8.118.349524
Message-ID: <[email protected]. yahoo.com>
Date: Fri, 15 Jun 2012 16:01:49 +0100 (BST)
From: Dieser Absender wurde von DomainKeys geprüft und bestätigt
*** <***@yahoo.de>
Absender in den Kontakten speichern
To: "***"
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="-779725378-1771480427-1339772509=:26207"
Content-Length: 703
Da steht was von androidMobile....ich kann damit nicht viel anfangen aber ich nutze ein Android Tablet. Kann es sein das darüber jemand an meine Daten gekommen ist?
Ach ja, das Passwort ändern, bringt Dir jetzt gar nichts, wenn ein Keylogger nicht komplett entfernt wurde. Denn dann haben die das gleich wieder.
Auf keinen Fall die PW z.b im Firefox abspeichern. Sondern immer so eingeben. Und zum anderen werden die, falls es ein Keylogger ist, alle deine Passwörter haben. Also wirst Du dann wenn alles sauber ist alle ändern müssen.
An keylogger kommst Du ganz schnell, wenn Du z.B irgenwas geladen hast mit ner Exe oder auf einen Link in einer Mail geclickt hast, die sich nicht öffnen ließ. Die meisten Virenprogramme reagieren da kaum drauf.
Wenn es dir unangenehm ist, dann solltest du etwas unternehmen.
Spamversand ist strafbar, ob er gewollt ist oder nicht, spielt keine Rolle. Zudem "kann" dein Provider dir den Anschluß stilllegen, meist bekommst du aber Post, wo auf eine Portsperre hingewiesen wird und du dafür zu sorgen hast, das es nicht wieder passiert.
Woran liegt es, tja, 80% an einem verseuchten Betriebssystem, nicht mal 5% von geklauten Accounts, und Rest ist gewollter Spam.
Du solltest dein System zuerst auf Viren, Malware und Trojaner überprüfen...
Dazu mach mal ein vollen Scan mit Malwarebytes und postest das Log bitte im Spoiler.
Dazu dann bitte externe Festplatten mit anschliessen und Firewall und Antivirensoftware während des Scans deaktivieren. Einen Haken bei Scan Archive machen und das löschen von Funden deaktivieren.
Dann den Scan machen. Am Ende Browser schliessen.
Nun Windowstaste + R drücken und fpolgendes einfügen:
"%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
für x64
"%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
und ebenfalls den Inhalt des Logs im Spoiler posten. Antiviren und Firewall wieder aktivieren.
Zitat:
Zitat von Avantasia
Ach ja, das Passwort ändern, bringt Dir jetzt gar nichts, wenn ein Keylogger nicht komplett entfernt wurde. Denn dann haben die das gleich wieder.
Geht schon, zumindest im Firefox..... wenn man ein Masterpasswort benutzt
Aber sonst ist es schon richtig, das man die Pw's trotz dem Komforts nicht im Browser abspeichern lassen sollte.
Vielen Dank für die Hilfe schonmal. Das lässt mir jetzt echt keine Ruhe. Ich werde nun doch wieder Nachhause fahren und meinen Rechner scannen. Den zweiten von meinen Eltern scanne ich gleich mit. Die Logs werde ich dann gleich posten.
Habe hier von Yahoo aus aber noch was gefunden:
Der Zugriff aus Deutschland bin natürlich ich und der aus Litauen gehört auch zu mir. Der aus Japan und Vietnam sind mir fremd, da hat also wohl doch jemand Zugriff auf meinen Account.
Also ich habe meine Passwörter NIE von Firefox speichern lassen. Exen aus Mails öffne ich generell auch nicht, wenn ich die Quelle nicht kenne und sonst habe ich auch keine Datei gehabt, die beim Ausführen nicht reagiert. Die Malwarebytes Scans sind nun durch. Die Eset Scans folgen, sobald fertig:
Malwarebytes Haupt-PC:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Datenbank Version: v2012.06.15.08
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
* :: *-PC [Administrator]
Infizierte Dateien: 3
C:\Users\*\Desktop\keymaker.exe (RiskWare.Tool.HCK) -> Keine Aktion durchgeführt.
D:\Dokumente und Einstellungen\*\Desktop\WinSetupFromUSB-0.1.1.exe (Adware.Onlinegames) -> Keine Aktion durchgeführt.
F:\backup\VMware.Workstation.v8.0.0.471780.Incl.Ke ymaker-ZWT\keygen.exe (Riskware.Tool.CK) -> Keine Aktion durchgeführt.
(Ende)
ESET Haupt-PC:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d9cdfe73272ce8409ea00aaa22dd00f1
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-16 08:13:08
# local_time=2012-06-16 10:13:08 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 3212 91428530 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=434540
# found=15
# cleaned=0
# scan_time=35707
D:\Betriebssysteme\Windows XP Gaming Edition v4 2010 SP3 Deutsch Final Vollversion\Windows Gaming Edition 2010.iso multiple threats (unable to clean) 00000000000000000000000000000000 I
D:\Betriebssysteme\Windows_7_*******\ISO\de_window s_7_*******_with_sp1_x64_dvd_u_V1_1.iso multiple threats (unable to clean) 00000000000000000000000000000000 I
D:\Games\Empires - Die Neuzeit\CD1\edn-a.iso probably a variant of Win32/Agent.KFOIWYH trojan (unable to clean) 00000000000000000000000000000000 I
D:\Games\Fallout 3\fallout3d.iso Win32/Virut.NBP virus (unable to clean) 00000000000000000000000000000000 I
D:\Games\Test Drive Unlimited\htd-tdu.iso probably a variant of Win32/Agent.GJSIJZB trojan (unable to clean) 00000000000000000000000000000000 I
D:\Games\The.Witcher.2.Assassins.of.Kings-SKIDROW\sr-tw2b.iso a variant of Win32/Packed.VMProtect.AAA trojan (unable to clean) 00000000000000000000000000000000 I
D:\Games\The_Settlers_7-Razor1911\rzr-set7.iso a variant of Win32/Packed.VMProtect.AAA trojan (unable to clean) 00000000000000000000000000000000 I
D:\Programme\MAXON Cinema 4D Studio R12\MAXON Cinema 4D Studio R12.032 Multi.iso probably a variant of Win32/Spy.Agent.KSRFASP trojan (unable to clean) 00000000000000000000000000000000 I
D:\Programme\Nero 7 Premium (7.10.1.0)\Nero-7.10.1.0_deu.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I
D:\Programme\Sony ACID Pro 7.0c Build 653\setup.exe Win32/TrojanDropper.VB.NIK trojan (unable to clean) 00000000000000000000000000000000 I
D:\Programme\Sony Vegas 10 Professional x64\sony-keygen.exe a variant of Win32/Packed.VMProtect.AAD trojan (unable to clean) 00000000000000000000000000000000 I
D:\Programme\Sony Vegas 9 Pro 64bit Edition\sony-keygen.exe a variant of Win32/Packed.VMProtect.AAD trojan (unable to clean) 00000000000000000000000000000000 I
D:\Programme\Virtual Dj Pro V6.0.1\Virtual Dj Pro V6.0.1.exe probably a variant of Win32/Agent.IQZNOEZ trojan (unable to clean) 00000000000000000000000000000000 I
E:\Documents\Usenext4free\old_stuff\HSS-1.34-install-anchorfree-76-conduit.exe a variant of Win32/HotSpotShield application (unable to clean) 00000000000000000000000000000000 I
E:\Portable\sft-loader\encrypter\encrypter.exe a variant of Win32/Packed.NiceProtect.A application (unable to clean) 00000000000000000000000000000000 I
ESET 2.-PC:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d6bdaaaa491e6b45863ab6e3fa213d30
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-15 11:06:03
# local_time=2012-06-16 01:06:03 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 5417 91426059 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=169135
# found=2
# cleaned=0
# scan_time=5354
F:\backup\Empires Die Neuzeit\CD1\edn-a.iso probably a variant of Win32/Agent.KFOIWYH trojan (unable to clean) 00000000000000000000000000000000 I
F:\Empires Dawn of the Modern World\EDMW_ResSet.exe probably a variant of Win32/Agent.KFOIWYH trojan (unable to clean) 00000000000000000000000000000000 I
Hijackthis Logs von beiden PC´s habe ich online auswerten lassen. Alles in Ordnung.
EDIT: McAfee Labs Stinger sagt auch auf beiden PC´s 0 infected items.
Ein Kumpel hat mir vorhin noch erklärt wie man Wireshark benutzt bzw. er hat sich meine Verbindungen dort auch mal angesehen und nichts verdächtiges entdeckt.
Hat jemand ne Idee was ich noch tun könnte? Oder kann ich davon ausgehen das es nicht am PC liegt. Könnte auch noch mein Tablet sein.
Nutzt du da auch was mit Email? Weil von diesen Win Versionen halte ich nicht viel von. Oder weisst du was die da genau verändert haben oder evtl an Viren oder sonnst was eingebaut haben?
Nein, kann dir nicht sehr viel zu der Version sagen. Ist schon eine Weile her mitlerweile habe ich mich an Linux rangetraut was noch weniger Ram verbraucht und meinen Ansprüchen genügt.
Aber nun zurück zu meinem Problem. Ich habe mich ausschließlich auf dein beiden oben genannten PC´s und meinem Tablet mit Yahoo verbunden in letzter Zeit.
Ich hatte genau das selbe Problem, nur mit hotmail. Ich habe es so gelöst das ich mit einer virtuellen tastatur das passwort geändert und danach mein mailkonto gelöscht habe.