GELÖST RECHNER "gehijacked" ?

Diskutiere RECHNER "gehijacked" ? im WinXP - Allgemeines Forum im Bereich Windows XP Forum; Hallo, seit einigen Tagen erhalten wir von Mail Delivery System <Mailer-Daemon@t-online.de> oder postmaster@hotmail.com...
J

Jany

Threadstarter
Mitglied seit
23.07.2006
Beiträge
45
Hallo,

seit einigen Tagen erhalten wir von
Mail Delivery System <Mailer-Daemon@t-online.de> oder
postmaster@hotmail.com <postmaster@hotmail.com>
Return Mails, in denen wir als Verfasser aufgeführt werden, die wir aber nie verfasst oder gesendet haben.

Norton 360, Malwarebytes Anti-Malware, Spybot - Search & Destroy, e-Scan fanden keine Auffälligkeiten. Das Passwort zum Mail-Account wurde geändert.

Das aktuelle hijackthis.log ist angefügt.

Was können wir tun?
Hat jemand eine Idee?
Für Hilfe vielen Dank im Voraus,

Gruß
HGJ


Inhalt der Returns:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

lolol@lol.com
retry time not reached for any host after a long failure period

------ This is a copy of the message, including all the headers. ------

Return-path: <---@t-online.de>
Received: from fwd23.aul.t-online.de (fwd23.aul.t-online.de )
by mailout07.t-online.de with smtp
id 1SYzj7-0007DS-JC; Mon, 28 May 2012 15:11:13 +0200
Received: from lpnyhg (ZkP28BZlrhq7mA974OY9JNyT+WEQyZH1gzW7D1UGlNyieCMvwBRtLxn48OAmn5TQz8@[14.96.146.32]) by fwd23.t-online.de
with esmtp id 1SYziz-0OK0Cu0; Mon, 28 May 2012 15:11:05 +0200
Date: Mon, 28 May 2012 16:15:09 +0200
From: "wskgg qinw" <---@t-online.de>
User-Agent: Thunderbird 2.0.0.14 (Windows/20090900)
MIME-Version: 1.0
To: lolol@lol.com, lolol@lolol.com, lolollololol72@yahoo.com, lolo-lmc219@hotmail.com, lololmo@hotmail.com, lolo_lmt@yahoo.com
Subject: Y `O "UR FRE E. T R I A|L
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 7bit
Message-ID: <1SYziz-0OK0Cu0@fwd23.t-online.de>
X-ID: ZkP28BZlrhq7mA974OY9JNyT+WEQyZH1gzW7D1UGlNyieCMvwBRtLxn48OAmn5TQz8
X-TOI-MSGID: ffa95628-f305-444a-905b-3dc3d93dbad2


Betriebssystem:
Betriebssystemname Microsoft Windows XP Home Edition
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname MARKETING1
Systemhersteller FUJITSU SIEMENS
Systemmodell AMILO M
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 9 Stepping 5 GenuineIntel ~1399 Mhz
BIOS-Version/-Datum Phoenix Technologies LTD R01-S0J, 13.08.2003
SMBIOS-Version 2.31
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername ..............\........
Zeitzone Westeuropäische Sommerzeit
Gesamter realer Speicher 2.048,00 MB
Verfügbarer realer Speicher 1,36 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 4,83 GB
Auslagerungsdatei C:\pagefile.sys
 

Anhänge

Zuletzt bearbeitet:
DerZong

DerZong

MODERATOR/FAQ-Team
Team
Mitglied seit
12.10.2004
Beiträge
4.680
Alter
41
Wirklich schädliches kann man aus deinem HijackThis-Log nicht erkennen.

Was du aber in jedem Fall machen solltest: Die Kennwörter sämtlicher Zugänge ändern - angefangen mit den Mail-Konten, mit denen du diese Nachrichten erhälst, bis hin zu den Windows-Anmeldedaten.

Entweder es ist so, wie du geschrieben hast: Dein PC wurde gehijackt. Könnte aber auch ein Virus oder Trojaner sein - aber dann hätte eigentlich Norton Alarm schlagen müssen.
Oder aber es haben sich irgend welche "Hacker" zugriff auf dein Mail-Konto verschafft, um darüber Spam zu verteilen.
 
WillyV

WillyV

C64
Mitglied seit
09.01.2008
Beiträge
3.217
Standort
mitten in Österreich
Das Mailpasswort hast Du ja schon geändert und es ändert sich nichts. Nächster Schritt wäre für mich, das Passwort nochmal zu ändern, aber im Mailclient (Thunderbird denke ich mal) nicht zu speichern, damit der nicht automatisch senden kann.

Hört das ganze dann auf, ist der Rechner infiziert und sollte grundsätzlich neu aufgesetzt werden. Um den Bösewicht zu identifizieren würde ich aber vorher ein anderes Virenprogramm, wie z.B. MalwareBytes zu Rate ziehen.
 
J

Jany

Threadstarter
Mitglied seit
23.07.2006
Beiträge
45
Erst einmal vielen "Dank" für Eure Hilfe:

Die Passwörter habe ich jetzt noch einmal verändert.
mit Malwarebytes Anti-Malware 1.61 habe ich gestern ergebnislos gescannt.

Ich berichte weiter,
mit freundlichem Gruß
HGJ
 
tacky

tacky

Mitglied seit
20.05.2008
Beiträge
2.449
Standort
Dortmund
Hi Jany,

da nichts einfacher ist, als unter einer anderen email Adresse mails zu verschicken, wuerde ich mal bei den eigenen Kontakten nachfragen, ob dort auch verdaechtige Mails von dir aufgetaucht sind.
Ansonsten abwarten und Tee trinken!

Tacky
 
webspider[GER]

webspider[GER]

Mitglied seit
06.05.2006
Beiträge
2.408
ich würde sagen es gibt eventuell ca. 3 möglichkeiten:

1.)das postfach des Empfängers ist voll

2.)Ich könnte mir auch eine andere Variante vorstellen: da Spam häufig im Filter hängen bleibt, tarnt man diesen einfach als Rückläufer.

3.) wie die andere poster schon geschrieben haben


fix erst einmal mit Hijackthis

und dann lass mal sicherheitshalber Kaspersky rescue Cd drüberlaufen
da diese sich vor BS Start einklingt

http://support.kaspersky.com/
Kaspersky Rescue Disk 10
 
J

Jany

Threadstarter
Mitglied seit
23.07.2006
Beiträge
45
Vielen Dank für alle Tips.


Zum meinem Verständnis habe ich noch einige Fragen. Ich bin Laie und bitte daher "dumme Fragen" zu entschuldigen:

  • In den Return-Mail-Daimon- Messages ist das Absendedatum der nicht zustellbaren Mail angegeben. Dieses Datum liegt bisher vor den Passwortveränderungen, die ich vorgenommen habe. Kann es sein, dass die Passwortveränderung zielgerichtet gewirkt hat?
  • Ist es möglich, dass die besagten Mails nicht von meinem Rechner gesendet wurden, sondern dass meine Mailanschrift in einem dritten Rechner, in dessen Adressbuch ich stehe, gehackt wurden und eventuell von diesem versendet werden?
  • Gibt es irgendwo in meiner Reg einen Eintrag oder eine Datei die dokumentiert, falls die Mails doch von meinem Rechner gesendet wurden?
  • Gibt es eine Möglichkeit, den Sender an Hand der Mitteilung des Mail-Daimon zurückzuverfolgen?
  • Ich habe 7 unterschiedliche Mail-Konten im meinem Outlook Express. Das betroffene ist als Standard gekennzeichnet und wird als einziges missbraucht. Bringt es etwas, wenn ich dieses durch Entfernen des Passworts nicht mehr nutze und Sendungen durch ein Forwarding zu einem anderen Mailkonto auf einem anderen Server umleite? Stelle ich damit ev. sicher, dass die besagten Mails nicht von meinem Rechner gesendet werden?

Danke für Eure Hilfe im Voraus,
mit freundlicem Gruß
HGJ
 
Zyndstoff

Zyndstoff

Mitglied seit
26.10.2010
Beiträge
2.445
Alter
57
Standort
BERLIN
Benutzt du Thunderbird 2...?
 
Zyndstoff

Zyndstoff

Mitglied seit
26.10.2010
Beiträge
2.445
Alter
57
Standort
BERLIN
Die von dir oben angefügte Mail ist von Thunderbird 2 verschickt worden. Wenn du also Outlook Express nutzt, dann ist die Mail nicht von deinem Rechner geschickt worden.

Dein Rechner ist, so wie es aussieht, sauber.

Das Ändern des Passwortes deines Mail-Kontos sollte ausgereicht haben. ;)
 
J

Jany

Threadstarter
Mitglied seit
23.07.2006
Beiträge
45
.....nein, immer noch den konservativen Outlook + Outlook Express.....
 
Zyndstoff

Zyndstoff

Mitglied seit
26.10.2010
Beiträge
2.445
Alter
57
Standort
BERLIN
Und du bist als User "GJ" angemeldet an dem Rechner? Der Rechner heißt "Marketing1"?
 
J

Jany

Threadstarter
Mitglied seit
23.07.2006
Beiträge
45
Die von dir oben angefügte Mail ist von Thunderbird 2 verschickt worden. Wenn du also Outlook Express nutzt, dann ist die Mail nicht von deinem Rechner geschickt worden.

Dein Rechner ist, so wie es aussieht, sauber.

Das Ändern des Passwortes deines Mail-Kontos sollte ausgereicht haben. ;)
Das wäre SUPER!!!
Danke für die Nachricht.
Ich werde weiter berichten.....
Gruß
HGJ
 
Zyndstoff

Zyndstoff

Mitglied seit
26.10.2010
Beiträge
2.445
Alter
57
Standort
BERLIN
Dieser Textteil, den du gepostet hast:

Betriebssystem:
Betriebssystemname Microsoft Windows XP Home Edition
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname MARKETING1
Systemhersteller FUJITSU SIEMENS
Systemmodell AMILO M
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 9 Stepping 5 GenuineIntel ~1399 Mhz
BIOS-Version/-Datum Phoenix Technologies LTD R01-S0J, 13.08.2003
SMBIOS-Version 2.31
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername MARKETING1\GJ
Zeitzone Westeuropäische Sommerzeit
Gesamter realer Speicher 2.048,00 MB
Verfügbarer realer Speicher 1,36 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 4,83 GB
Auslagerungsdatei C:\pagefile.sys
war der Bestandteil der zurückgeschickten Mail?
Oder hast du das selber in den Post geschrieben, um uns einen Überblick über dein System zu geben?

Wenn das Bestandteil der Mail war, dann wär's schlecht...
 
Zyndstoff

Zyndstoff

Mitglied seit
26.10.2010
Beiträge
2.445
Alter
57
Standort
BERLIN
Die Mail kam, soweit ich das sehe, aus Hyderabad, Indien... ;)

inetnum: 14.96.144.0 - 14.96.159.255
netname: TTSL_CDMA
descr: TATA TELESERVICES LTD - TATA INDICOM - CDMA DIVISION
descr: HYDERABAD IP POOL
 
J

Jany

Threadstarter
Mitglied seit
23.07.2006
Beiträge
45
Dieser Textteil, den du gepostet hast:



war der Bestandteil der zurückgeschickten Mail?
Oder hast du das selber in den Post geschrieben, um uns einen Überblick über dein System zu geben?

Wenn das Bestandteil der Mail war, dann wär's schlecht...
Den Teil habe ich angegeben, damit keine Rückfragen zum Sys kommen,
Gruß
GJ
 
Zyndstoff

Zyndstoff

Mitglied seit
26.10.2010
Beiträge
2.445
Alter
57
Standort
BERLIN
Okay.
Dann achte einfach nur weiter darauf, ob so was weiterhin vorkommt. Sollte mit der Änderung des Mailzugangspasswortes erledigt sein.

Wichtig ist: wähle ein starkes Passwort aus, das einen Mix aus Groß-, Kleinbuchstaben, Sonderzeichen und Zahlen bildet, möglichst lang ist und vor allem keine englischen Worte beinhaltet. (z.B. so was Sinnloses wie: z62T-hR#-3Pv6?q)

;)
 
J

Jany

Threadstarter
Mitglied seit
23.07.2006
Beiträge
45
Okay.
Dann achte einfach nur weiter darauf, ob so was weiterhin vorkommt. Sollte mit der Änderung des Mailzugangspasswortes erledigt sein.

Wichtig ist: wähle ein starkes Passwort aus, das einen Mix aus Groß-, Kleinbuchstaben, Sonderzeichen und Zahlen bildet, möglichst lang ist und vor allem keine englischen Worte beinhaltet. (z.B. so was Sinnloses wie: z62T-hR#-3Pv6?q)

;)
Ich werde dies jetzt noch einmal verändern und weitere Infos posten.
Wenn ich innerhalb der nächsten 6 Tage keine Meldungen erhalte, werde ich das Thema als gelöst kennzeichnen.
Danke Dir Zyndstoff und
Euch Allen recht herzlich
HGJ
 
HaraldL

HaraldL

Mitglied seit
26.07.2006
Beiträge
5.835
Standort
Niederbayern
Ein Kunde von mir hatte ein ähnliches Problem. Es gab den Verdacht daß denen der frühere EDV-Betreuer eins "auswischen" wollte, leider war nichts zu beweisen.

Also durch vermutlich ein Botnetz (dem KEIN Rechner der Firma angehörte) wurden Unmengen an meist russischen Mails in kyrillischer Schrift verschickt. Und zwar von vielen verschiedenen Rechner aus allen möglichen Ländern, Türkei, Brasilien usw. wobei die infizierten Fremd-Rechner die Mail direkt selbst verschickten, nicht über den Mailserver der Firma beim Provider. Es wurde also einfach der Absender gefälscht, das Kennwort des Firmen-Mailkontos war dazu nicht nötig weil gar nicht benutzt.

Als Absender war jeweils die Firmen-Emailadresse info@... angegeben. Und da viele der Mails nicht zugestellt werden konnten, entweder abgewiesen vom Spamfilter oder die Adresse existiert gar nicht mehr, erzeugte das Rückläufer mit Fehlermeldungen die aber nicht an den eigentlichen Absende-PC geschickt worden sondern an die angegebene Absender-Adresse. Also an die Firma.

Resultat war daß anfangs täglich so an die 500-1000 Mailer-Daemons oder sonstige Fehlermeldungen eintrudelten, die meisten unlesbar kyrillisch. Ich habe deswegen dann Mail-Filterregeln eingerichtet die sowas aussortieren damit das Mailpostfach noch benutzbar bleibt. Leider kann man die Firmen-Mailadresse nicht einfach mal schnell wechseln. Jetzt nach über einem Jahr hat sich das auf ca. 5 Mailer-Daemons pro Woche normalisiert.

Selber aktiv was tun kann man gegen sowas nicht weil man auf das versendende Botnetz keinen Einfluß hat. Uns blieb nur, auf die Firmenhomepage einen Hinweis in mehreren Sprachen zu setzen daß Spam-Mails im Umlauf sind mit der Firma als Absender die keinesfalls von der Firma stammen. Wir vermuten daß es eine bewußte Aktion (Stichwort "Joe-Job") war denn echter Spam versendet mit wechselnden Absender-Adressen damit die Empfänger nicht einfach einen Filter auf die immer gleiche Adresse setzen können.

Das ist nichts anderes wie wenn ich jetzt z.B. Drohbriefe per Post verschicke und deine Adresse als Absender drauf. Da kommen die Empfänger auch erst mal zu dir und fragen was das soll.
 
Zyndstoff

Zyndstoff

Mitglied seit
26.10.2010
Beiträge
2.445
Alter
57
Standort
BERLIN
Ich bin mir nicht so ganz sicher, ob ein Mail-Daemon eine nicht zustellbare Mail an den "Reply to"-Absender zurückschickt oder eher doch an den echten Absender (der dem Mail-Daemon ja bekannt ist).
Ich glaube eher letzteres.
 
Thema:

RECHNER "gehijacked" ?

Sucheingaben

mail delivery system t-online

,

mailout06

,

mailer-daemon

,
fwd23.aul.t-online.de
, MAILER-DAEMON@mailout06.t-online.de Postmaster

RECHNER "gehijacked" ? - Ähnliche Themen

  • Microsoft Fotos lässt den Rechner heiß laufen

    Microsoft Fotos lässt den Rechner heiß laufen: Hallo, das Problem scheinen ja einige zu haben: die App "Fotos" läuft andauernd im Hintergrund. Bei mir mit durchgängig ca. 40% CPU-Last, was...
  • ich kann nicht mehr in meinen Rechner PC

    ich kann nicht mehr in meinen Rechner PC: ich kann nicht mehr in meinen Rechner ein logen
  • Neuer Rechner Zusammenstellung (nicht für mich)

    Neuer Rechner Zusammenstellung (nicht für mich): Hab da mal was zusammengestellt, habe aber wie immer keine Ahnung :blush Sollte ein richtiger Rechner sein, steht unter dem Schreibtisch daher...
  • Konten auf Rechner wieder löschen

    Konten auf Rechner wieder löschen: Hallo zusammen, ich habe mir einen neuen Laptop gekauft und nachdem alles installiert und eingerichtet war, festgestellt, dass die Kamera ein...
  • rechner fordert neuen produkt-key!

    rechner fordert neuen produkt-key!: habe dasselbe problem mit win 8.1 64b---rechner fordert neuen produkt-key! weiß jemand wie.........?
  • Ähnliche Themen

    Oben