Eigener Rechner Spammailversender?

**Moresco** · 25. Oktober 2007

Hallo Leutz,

es ist jetzt ca. 4 Wochen her, da bekam mein Vater eine E-Mail von T-Offline mit dem Hinweis, dass von uns Spams wersendet werden. Wir haben es für eine der üblichen Spammails gehalten, die gerne vorgeben von einer gewöhnlichen Firma zu sein und diese nicht weiter beachtet.

Nun allerdings kam das gleiche noch einmal per Post, es war also kein Fake....

Ich zitiere das Schreiben mal wörtlich:

Zitat

Benachrichtigung über Mainversandbeschränkung.

Sehr geehrter Herr,

wir freuen uns, dass Sie T-Online ihr Vertrauen schenken. Leider haben wir jedoch Kenntnis erhalten, dass über Ihren T-Online Zugang unerwünschte Werbemails (Spam-Mails) versendet wurden, worauf wir mit einer Beschränkung der Mailversandmöglichkeiten reagieren mussten.

...........

Wir haben den Laufweg der fraglichen Spam-Mails anhand der Headerdaten ausgewertet und über die IP-Adresse Ihren T-Online Zugang als Einlieferer ermittelt. Die eMails wurden nicht über Ihren T-Online eMail-Account, sondern per Direkteinlieferung über Ihren T-Online Zugang gesendet. Die Direkteinlieferung ist ein typisches Indiz für ein Sicherheitsproblem, nämlich häufig eine Infektion Ihres Rechners mit Schadsoftware wie Viren, Würmern oder Trojanischen Pferden

Alles anzeigen

Und dann liegen noch 2 Merkblätter dabei mit Hinweisen, was man tun und lassen sollte um sowas zu vermeidern, die eh jeder Internetnutzer kennt.

U.a. stand dort auch, dass man mal den T-Online Sicherheitscheck durchführen sollte.(http://www.t-online.de/sicherheitscheck) Habe ich auch gemacht. Alle Tests anstandslos bestanden. Und man soll doch bitte auch einen Virenscanner überprüfen (wobei hier AntiVir empfohlen wird). Auch so einen habe ich natürlich laufen und scannen lassen, ebenfalls ohne Ergebnisse....

Dazu sei gesagt, dass wir hier ein WLAN Netz betreibern. Das ist sowohl verschlüsselt als auch versteckt.

Auch der Dienstlaptop meines Vaters wurde geprüft und auch hier fielen die Ergebnisse nicht anders aus als bei mir.

Nun fragen wir uns natürlich auch zurecht, wo das noch herkommen kann... Wir haben hierfür keine weitere Erklärung. Ihr vielleicht?

Eien Antwort wird von uns auch erwartet, sobald wir das Problem behoben haben, ja nur welches ist es denn bitte?

biskini · 25. Oktober 2007

kann es vielleicht sein, dass jemand den Account von T-Online gehackt hat und somit eure Zugriffsdaten kennt?

So ein ähnliches Problem hatte wir mal, dass jemand den Mailaccount meiner Frau gehackt hatte, und dann anfing damit viren usw. zu verschicken. Dahinter sind wir gekommen, als uns jemand darauf angesprochen hatte und wir dieses dann überprüft hatten....

vielleicht ist bei euch so was ähnliches?

deepnight · 25. Oktober 2007

pff, wlan verschlüsselt und versteckt , das ich ned lache, jedes wlan is sichtbar und nur verschlüsselung (wahrscheinlich auch noch WEP128) allein bringts nich.

richte zusätzlich noch eine MAC Filtertabelle ein, und benutz statt WEP lieber WPA sofern es deine geräte unterstützen.

wie gesagt, wenn beide rechner clean sind, dann kanns nur am wlan liegen.

achja, was nutzt ihr für die mailkommunikation??

outlook, outlook express, oder sowas??

**Moresco** · 25. Oktober 2007

Also was Zugangsdaten angeht, kann ich leider nicht sagen. Aber ich werde natürlich dafür sorgen, dass die abgeändert werden.

Unser WLAN ist mit WPA-PSK und TKIP mitsamt 23stelligem Code gesichert - sollte also nicht einfach zu knacken sein. MAC Filter ist auch eingerichtet.

Für meine knapp ca. 5 Mails pro Woche nehme ich Outlook, und da kommt auch immer Spam rein, der sofort rausfliegt

Ich hab nochmal einen Intensivscan mit Antivir laufen lassen. Diesmals gabs 2 Funde:

Zitat

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 25. Oktober 2007 10:03

Es wird nach 902464 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: XXX
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: MERIZER

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 08.09.2007 00:09:12
AVSCAN.DLL : 7.0.6.0 57384 Bytes 08.09.2007 00:09:12
LUKE.DLL : 7.0.5.3 147496 Bytes 08.09.2007 00:09:15
LUKERES.DLL : 7.0.6.0 10792 Bytes 08.09.2007 00:09:15
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 16:09:33
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 16:38:12
ANTIVIR2.VDF : 7.0.0.91 687104 Bytes 16.10.2007 17:25:35
ANTIVIR3.VDF : 7.0.0.131 257024 Bytes 25.10.2007 07:26:17
AVEWIN32.DLL : 7.6.0.27 3019264 Bytes 19.10.2007 21:31:44
AVWINLL.DLL : 1.0.0.7 14376 Bytes 24.04.2007 20:53:28
AVPREF.DLL : 7.0.2.2 25640 Bytes 08.09.2007 00:09:12
AVREP.DLL : 7.0.0.1 155688 Bytes 24.04.2007 20:53:28
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 14:55:26
AVREG.DLL : 7.0.1.6 30760 Bytes 08.09.2007 00:09:12
AVARKT.DLL : 1.0.0.20 278568 Bytes 08.09.2007 00:09:12
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 08.09.2007 00:09:12
NETNT.DLL : 7.0.0.0 7720 Bytes 24.04.2007 20:53:28
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 08.09.2007 00:09:08
RCTEXT.DLL : 7.0.62.0 90152 Bytes 08.09.2007 00:09:08
SQLITE3.DLL : 3.3.17.1 339968 Bytes 08.09.2007 00:09:15

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 25. Oktober 2007 10:03

Der Suchlauf nach versteckten Objekten wird begonnen.
c:\windows\system32\drivers\nro50.sys
[HINWEIS] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Rootkit.Agent.HU
[HINWEIS] Es konnte kein SpecVir-Eintrag gefunden werden!
[INFO] Eine Sicherungskopie wurde unter dem Namen 478f4e9c.qua erstellt ( QUARANTÄNE )
c:\windows\system32\drivers\symavc32.sys
[HINWEIS] Die Datei ist nicht sichtbar.
[FUND] Ist das Trojanische Pferd TR/Rootkit.Agent.HU
[HINWEIS] Es konnte kein SpecVir-Eintrag gefunden werden!
[INFO] Eine Sicherungskopie wurde unter dem Namen 478d4ea3.qua erstellt ( QUARANTÄNE )
Es wurden '51935' Objekte überprüft, '2' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GigasetUSBMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BlueSoleil.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIAHE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRISMSVR.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Smc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '36' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windoof>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Privates>
Beginne mit der Suche in 'E:\' <Programme>

Ende des Suchlaufs: Donnerstag, 25. Oktober 2007 11:00
Benötigte Zeit: 56:46 min

Der Suchlauf wurde vollständig durchgeführt.

7555 Verzeichnisse wurden überprüft
476429 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
476427 Dateien ohne Befall
2269 Archive wurden durchsucht
1 Warnungen
0 Hinweise
51935 Objekte wurden beim Rootkitscan durchsucht
2 Versteckte Objekte wurden gefunden

Alles anzeigen

Die Ergebnisse der Funde:

Zitat

Die Datei 'C:\WINDOWS\TEMP\AVSCAN-20071025-100340-F6784F1B\AVSCAN-00000003.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rootkit.Agent.HU' [trojan].
Durchgeführte Aktion(en):

Zitat

Die Datei 'C:\WINDOWS\TEMP\AVSCAN-20071025-100340-F6784F1B\AVSCAN-00000002.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Rootkit.Agent.HU' [trojan].
Durchgeführte Aktion(en):

Da scheint also wohl doch was zu sein. Wie es aussieht, liegen die in der Quarantäne... Was also tun? Weg mit den Dingern ist klar... aber genügt das? Und irgendwie müssen die ja bei mir raufgekommen sein..

**AppLeNaToR** · 25. Oktober 2007

Kaspersky kaufen

Naja im abgesicherten versuchen.

Mal gegen spyware scannen mit Spybot SD und Hijackthis

usw usf

**Aleminator** · 25. Oktober 2007

Abgesichert starten, und dann von Hand löschen!
Hat bei mir auch funktioniert!

**tomie** · 25. Oktober 2007

und wichtig, alle updates vom system und office aufspielen.

deepnight · 25. Oktober 2007

[quote author=tomie link=topic=2725.msg44010#msg44010 date=1193313476]
und wichtig, alle updates vom system und office aufspielen.
[/quote]

wirste von MS gesponsort neuerdings??

@ topic, wie Apple schon sagt, einfach mal HiJackThis rüberjagen

W-Lan sollte mit der config eigentlich gut dicht sein.

und benutz statt outlook ein anderes produkt wie Thunderbird oder PegasusMail

**AppLeNaToR** · 25. Oktober 2007

wirst du eigentlich von mozilla gesponsort?

ich find die thunderbird furchtbar. bin ganz froh hier outlook zu haben. Und wenn man regelmäßig updatet und ne gescheite virensoftware hat ist man auch mit der kombi auf der sicheren seite

Crusader77 · 25. Oktober 2007

[quote author=Moresco link=topic=2725.msg43996#msg43996 date=1193304450]
Also was Zugangsdaten angeht, kann ich leider nicht sagen. Aber ich werde natürlich dafür sorgen, dass die abgeändert werden.

Unser WLAN ist mit WPA-PSK und TKIP mitsamt 23stelligem Code gesichert - sollte also nicht einfach zu knacken sein. MAC Filter ist auch eingerichtet.[/quote]

Gestern erst im Radio gehört.

Für den privaten Bereich ist eine Verschlüsselung mit WPA2-PSK die sicherste Variante - wenn ihr komplexe Passwörter wählt! Also nicht 0000 oder den Namen eures Haustiers. Bei besonders hohen Sicherheitsansprüchen können zusätzlich so genannte Virtuelle Private Netze (VPN) eingesetzt werden. Diese übermitteln die Daten durch für Dritte nicht einsehbare "Tunnel".

Ändert den Auslieferungszustand!
Einstellungen wie Benutzernamen oder Passwörter, mit denen W-LAN -fähige Geräte das Werk verlassen, sind immer die gleichen. Ungebetene Eindringlinge wissen das natürlich und können so bequem in euer Netzwerk eindringen. Wie ihr diese Konfiguration durchführt, steht in der vom Hersteller mitgelieferten Anleitung. Am wichtigsten sind dabei die folgenden beiden Punkte:

Quelle

**tomie** · 26. Oktober 2007

Outlook ist halt doof wenn man seine Mails per IMAP abholen will. Aber sonst gut zu gebrauchen

@deep - die Winddoof Updates sind wichtig

Benutzer online in diesem Thema