GELÖST RECHNER "gehijacked" ?

[Jany]

Hallo,

seit einigen Tagen erhalten wir von
Mail Delivery System <Mailer-Daemon@t-online.de> oder
postmaster@hotmail.com <postmaster@hotmail.com>
Return Mails, in denen wir als Verfasser aufgeführt werden, die wir aber nie verfasst oder gesendet haben.

Norton 360, Malwarebytes Anti-Malware, Spybot - Search & Destroy, e-Scan fanden keine Auffälligkeiten. Das Passwort zum Mail-Account wurde geändert.

Das aktuelle hijackthis.log ist angefügt.

Was können wir tun?
Hat jemand eine Idee?
Für Hilfe vielen Dank im Voraus,

Gruß
HGJ


Inhalt der Returns:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

lolol@lol.com
retry time not reached for any host after a long failure period

------ This is a copy of the message, including all the headers. ------

Return-path: <---@t-online.de>
Received: from fwd23.aul.t-online.de (fwd23.aul.t-online.de )
by mailout07.t-online.de with smtp
id 1SYzj7-0007DS-JC; Mon, 28 May 2012 15:11:13 +0200
Received: from lpnyhg (ZkP28BZlrhq7mA974OY9JNyT+WEQyZH1gzW7D1UGlNyieCMvwBRtLxn48OAmn5TQz8@[14.96.146.32]) by fwd23.t-online.de
with esmtp id 1SYziz-0OK0Cu0; Mon, 28 May 2012 15:11:05 +0200
Date: Mon, 28 May 2012 16:15:09 +0200
From: "wskgg qinw" <---@t-online.de>
User-Agent: Thunderbird 2.0.0.14 (Windows/20090900)
MIME-Version: 1.0
To: lolol@lol.com, lolol@lolol.com, lolollololol72@yahoo.com, lolo-lmc219@hotmail.com, lololmo@hotmail.com, lolo_lmt@yahoo.com
Subject: Y `O "UR FRE E. T R I A|L
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 7bit
Message-ID: <1SYziz-0OK0Cu0@fwd23.t-online.de>
X-ID: ZkP28BZlrhq7mA974OY9JNyT+WEQyZH1gzW7D1UGlNyieCMvwBRtLxn48OAmn5TQz8
X-TOI-MSGID: ffa95628-f305-444a-905b-3dc3d93dbad2

Betriebssystem:
Betriebssystemname Microsoft Windows XP Home Edition
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname MARKETING1
Systemhersteller FUJITSU SIEMENS
Systemmodell AMILO M
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 9 Stepping 5 GenuineIntel ~1399 Mhz
BIOS-Version/-Datum Phoenix Technologies LTD R01-S0J, 13.08.2003
SMBIOS-Version 2.31
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername ..............\........
Zeitzone Westeuropäische Sommerzeit
Gesamter realer Speicher 2.048,00 MB
Verfügbarer realer Speicher 1,36 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 4,83 GB
Auslagerungsdatei C:\pagefile.sys

 

[DerZong]

Wirklich schädliches kann man aus deinem HijackThis-Log nicht erkennen.

Was du aber in jedem Fall machen solltest: Die Kennwörter sämtlicher Zugänge ändern - angefangen mit den Mail-Konten, mit denen du diese Nachrichten erhälst, bis hin zu den Windows-Anmeldedaten.

Entweder es ist so, wie du geschrieben hast: Dein PC wurde gehijackt. Könnte aber auch ein Virus oder Trojaner sein - aber dann hätte eigentlich Norton Alarm schlagen müssen.
Oder aber es haben sich irgend welche "Hacker" zugriff auf dein Mail-Konto verschafft, um darüber Spam zu verteilen.

 

[WillyV]

Das Mailpasswort hast Du ja schon geändert und es ändert sich nichts. Nächster Schritt wäre für mich, das Passwort nochmal zu ändern, aber im Mailclient (Thunderbird denke ich mal) nicht zu speichern, damit der nicht automatisch senden kann.

Hört das ganze dann auf, ist der Rechner infiziert und sollte grundsätzlich neu aufgesetzt werden. Um den Bösewicht zu identifizieren würde ich aber vorher ein anderes Virenprogramm, wie z.B. MalwareBytes zu Rate ziehen.

 

[Jany]

Erst einmal vielen "Dank" für Eure Hilfe:

Die Passwörter habe ich jetzt noch einmal verändert.
mit Malwarebytes Anti-Malware 1.61 habe ich gestern ergebnislos gescannt.

Ich berichte weiter,
mit freundlichem Gruß
HGJ

 

[tacky]

Hi Jany,

da nichts einfacher ist, als unter einer anderen email Adresse mails zu verschicken, wuerde ich mal bei den eigenen Kontakten nachfragen, ob dort auch verdaechtige Mails von dir aufgetaucht sind.
Ansonsten abwarten und Tee trinken!

Tacky

 

[webspider[GER]]

ich würde sagen es gibt eventuell ca. 3 möglichkeiten:

1.)das postfach des Empfängers ist voll

2.)Ich könnte mir auch eine andere Variante vorstellen: da Spam häufig im Filter hängen bleibt, tarnt man diesen einfach als Rückläufer.

3.) wie die andere poster schon geschrieben haben


fix erst einmal mit Hijackthis

und dann lass mal sicherheitshalber Kaspersky rescue Cd drüberlaufen
da diese sich vor BS Start einklingt

http://support.kaspersky.com/
Kaspersky Rescue Disk 10

 

[Jany]

Vielen Dank für alle Tips.


Zum meinem Verständnis habe ich noch einige Fragen. Ich bin Laie und bitte daher "dumme Fragen" zu entschuldigen:

• In den Return-Mail-Daimon- Messages ist das Absendedatum der nicht zustellbaren Mail angegeben. Dieses Datum liegt bisher vor den Passwortveränderungen, die ich vorgenommen habe. Kann es sein, dass die Passwortveränderung zielgerichtet gewirkt hat?
  
• Ist es möglich, dass die besagten Mails nicht von meinem Rechner gesendet wurden, sondern dass meine Mailanschrift in einem dritten Rechner, in dessen Adressbuch ich stehe, gehackt wurden und eventuell von diesem versendet werden?
  
• Gibt es irgendwo in meiner Reg einen Eintrag oder eine Datei die dokumentiert, falls die Mails doch von meinem Rechner gesendet wurden?
  
• Gibt es eine Möglichkeit, den Sender an Hand der Mitteilung des Mail-Daimon zurückzuverfolgen?
  
• Ich habe 7 unterschiedliche Mail-Konten im meinem Outlook Express. Das betroffene ist als Standard gekennzeichnet und wird als einziges missbraucht. Bringt es etwas, wenn ich dieses durch Entfernen des Passworts nicht mehr nutze und Sendungen durch ein Forwarding zu einem anderen Mailkonto auf einem anderen Server umleite? Stelle ich damit ev. sicher, dass die besagten Mails nicht von meinem Rechner gesendet werden?

Danke für Eure Hilfe im Voraus,
mit freundlicem Gruß
HGJ

 

[Zyndstoff]

Benutzt du Thunderbird 2...?

 

[Zyndstoff]

Die von dir oben angefügte Mail ist von Thunderbird 2 verschickt worden. Wenn du also Outlook Express nutzt, dann ist die Mail nicht von deinem Rechner geschickt worden.

Dein Rechner ist, so wie es aussieht, sauber.

Das Ändern des Passwortes deines Mail-Kontos sollte ausgereicht haben.

 

[Jany]

.....nein, immer noch den konservativen Outlook + Outlook Express.....

 

[Zyndstoff]

Und du bist als User "GJ" angemeldet an dem Rechner? Der Rechner heißt "Marketing1"?

 

[Jany]

Die von dir oben angefügte Mail ist von Thunderbird 2 verschickt worden. Wenn du also Outlook Express nutzt, dann ist die Mail nicht von deinem Rechner geschickt worden.

Dein Rechner ist, so wie es aussieht, sauber.

Das Ändern des Passwortes deines Mail-Kontos sollte ausgereicht haben.

Das wäre SUPER!!!
Danke für die Nachricht.
Ich werde weiter berichten.....
Gruß
HGJ

 

[Jany]

Und du bist als User "GJ" angemeldet an dem Rechner? Der Rechner heißt "Marketing1"?

Exakt, stimmt!

 

[Zyndstoff]

Dieser Textteil, den du gepostet hast:

Betriebssystem:
Betriebssystemname Microsoft Windows XP Home Edition
Version 5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller Microsoft Corporation
Systemname MARKETING1
Systemhersteller FUJITSU SIEMENS
Systemmodell AMILO M
Systemtyp X86-basierter PC
Prozessor x86 Family 6 Model 9 Stepping 5 GenuineIntel ~1399 Mhz
BIOS-Version/-Datum Phoenix Technologies LTD R01-S0J, 13.08.2003
SMBIOS-Version 2.31
Windows-Verzeichnis C:\WINDOWS
Systemverzeichnis C:\WINDOWS\system32
Startgerät \Device\HarddiskVolume1
Gebietsschema Deutschland
Hardwareabstraktionsebene Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername MARKETING1\GJ
Zeitzone Westeuropäische Sommerzeit
Gesamter realer Speicher 2.048,00 MB
Verfügbarer realer Speicher 1,36 GB
Gesamter virtueller Speicher 2,00 GB
Verfügbarer virtueller Speicher 1,96 GB
Größe der Auslagerungsdatei 4,83 GB
Auslagerungsdatei C:\pagefile.sys

war der Bestandteil der zurückgeschickten Mail?
Oder hast du das selber in den Post geschrieben, um uns einen Überblick über dein System zu geben?

Wenn das Bestandteil der Mail war, dann wär's schlecht...

 

[Zyndstoff]

Die Mail kam, soweit ich das sehe, aus Hyderabad, Indien...

inetnum: 14.96.144.0 - 14.96.159.255
netname: TTSL_CDMA
descr: TATA TELESERVICES LTD - TATA INDICOM - CDMA DIVISION
descr: HYDERABAD IP POOL

 

[Jany]

Dieser Textteil, den du gepostet hast:



war der Bestandteil der zurückgeschickten Mail?
Oder hast du das selber in den Post geschrieben, um uns einen Überblick über dein System zu geben?

Wenn das Bestandteil der Mail war, dann wär's schlecht...

Den Teil habe ich angegeben, damit keine Rückfragen zum Sys kommen,
Gruß
GJ

 

[Zyndstoff]

Okay.
Dann achte einfach nur weiter darauf, ob so was weiterhin vorkommt. Sollte mit der Änderung des Mailzugangspasswortes erledigt sein.

Wichtig ist: wähle ein starkes Passwort aus, das einen Mix aus Groß-, Kleinbuchstaben, Sonderzeichen und Zahlen bildet, möglichst lang ist und vor allem keine englischen Worte beinhaltet. (z.B. so was Sinnloses wie: z62T-hR#-3Pv6?q)

 

[Jany]

Okay.
Dann achte einfach nur weiter darauf, ob so was weiterhin vorkommt. Sollte mit der Änderung des Mailzugangspasswortes erledigt sein.

Wichtig ist: wähle ein starkes Passwort aus, das einen Mix aus Groß-, Kleinbuchstaben, Sonderzeichen und Zahlen bildet, möglichst lang ist und vor allem keine englischen Worte beinhaltet. (z.B. so was Sinnloses wie: z62T-hR#-3Pv6?q)

Ich werde dies jetzt noch einmal verändern und weitere Infos posten.
Wenn ich innerhalb der nächsten 6 Tage keine Meldungen erhalte, werde ich das Thema als gelöst kennzeichnen.
Danke Dir Zyndstoff und
Euch Allen recht herzlich
HGJ

 

[HaraldL]

Ein Kunde von mir hatte ein ähnliches Problem. Es gab den Verdacht daß denen der frühere EDV-Betreuer eins "auswischen" wollte, leider war nichts zu beweisen.

Also durch vermutlich ein Botnetz (dem KEIN Rechner der Firma angehörte) wurden Unmengen an meist russischen Mails in kyrillischer Schrift verschickt. Und zwar von vielen verschiedenen Rechner aus allen möglichen Ländern, Türkei, Brasilien usw. wobei die infizierten Fremd-Rechner die Mail direkt selbst verschickten, nicht über den Mailserver der Firma beim Provider. Es wurde also einfach der Absender gefälscht, das Kennwort des Firmen-Mailkontos war dazu nicht nötig weil gar nicht benutzt.

Als Absender war jeweils die Firmen-Emailadresse info@... angegeben. Und da viele der Mails nicht zugestellt werden konnten, entweder abgewiesen vom Spamfilter oder die Adresse existiert gar nicht mehr, erzeugte das Rückläufer mit Fehlermeldungen die aber nicht an den eigentlichen Absende-PC geschickt worden sondern an die angegebene Absender-Adresse. Also an die Firma.

Resultat war daß anfangs täglich so an die 500-1000 Mailer-Daemons oder sonstige Fehlermeldungen eintrudelten, die meisten unlesbar kyrillisch. Ich habe deswegen dann Mail-Filterregeln eingerichtet die sowas aussortieren damit das Mailpostfach noch benutzbar bleibt. Leider kann man die Firmen-Mailadresse nicht einfach mal schnell wechseln. Jetzt nach über einem Jahr hat sich das auf ca. 5 Mailer-Daemons pro Woche normalisiert.

Selber aktiv was tun kann man gegen sowas nicht weil man auf das versendende Botnetz keinen Einfluß hat. Uns blieb nur, auf die Firmenhomepage einen Hinweis in mehreren Sprachen zu setzen daß Spam-Mails im Umlauf sind mit der Firma als Absender die keinesfalls von der Firma stammen. Wir vermuten daß es eine bewußte Aktion (Stichwort "Joe-Job") war denn echter Spam versendet mit wechselnden Absender-Adressen damit die Empfänger nicht einfach einen Filter auf die immer gleiche Adresse setzen können.

Das ist nichts anderes wie wenn ich jetzt z.B. Drohbriefe per Post verschicke und deine Adresse als Absender drauf. Da kommen die Empfänger auch erst mal zu dir und fragen was das soll.

 

[Zyndstoff]

Ich bin mir nicht so ganz sicher, ob ein Mail-Daemon eine nicht zustellbare Mail an den "Reply to"-Absender zurückschickt oder eher doch an den echten Absender (der dem Mail-Daemon ja bekannt ist).
Ich glaube eher letzteres.