Hallo liebes Trojaner-Board!

Ich wurde von mehreren Leuten darauf hingewiesen, dass über meinen Yahoo-Account Spammails an Kontakte aus meinem Adressbuch gesendet werden. Die Mails tauchen jedoch nicht bei den gesendeten Objekten in meinem Mail-Programm auf.

Die versendeten Mails sehen folgendermaßen aus:

Zitat:

Betreff:


Have some fun at our shop! We are glad to see everybody!. hxxp://mabsan.com/new.year.php?rsiteid=10lo6

Daraufhin habe ich meine Zugangsdaten geändert, was das Problem aber natürlich nicht behoben hat.

Als Mail-Programm nutze ich Windows Live Mail, als Virenprogramm AntiVir.

Die OTL.txt und EXTRAS.txt befinden sich im Anhang. Ich hoffe jemand kann mir da weiterhelfen.

Grüße und danke für jegliche Art von Hilfe

Zitat:

Daraufhin habe ich meine Zugangsdaten geändert, was das Problem aber natürlich nicht behoben hat.

Ein grundsätzliches "Problem" welches man nicht ändern kann:
Spammer können als Abesenderadresse beliebige Mailadressen eintragen. Das Fälschen der E-Mail-Adresse ist ein Kinderspiel. Vllt hast du einfach nur Pech und man nimmt deine E-Mail-Adresse als Absender.

Falls denn dies bei dir so ist. Bestätigen kann man das wenn man sich mal die Kopfzeilen einer solchen Spammail (die angeblich von dir stammt) anzeigen lässt.

Hallo, vielen Dank für deine Antwort!

Ich glaube nicht das jemand die Emal-Adresse gefälscht hat, da die Spams immer nur an Personen aus meinem Yahoo-Adressbuch gesendet werden.

Glauben heitß nicht wissen. Ohne die Kopfzeilen ist und bleibt das reines

Was genau ist denn mit Kopfzeile gemeint?

Ich habe z.B. heute morgen eine Spammail von mir selbst bekommen. Es war kein Betreff angegeben, nur mein eigener Adressbucheintrag als Absender sowie die Empfänger (alle aus meinem Yahoo-Adressbuch).

Ich habe gerade einmal den Webmailer von Yahoo abgerufen. Dort tauchen jede Menge Spammails als "gesendet" auf. Könnte es möglicherweise etwas bringen einfach die online gespeicherten Kontakte zu löschen?

Zitat:

Was genau ist denn mit Kopfzeile gemeint?

Bekommt man auch selbst leicht via Google heraus => Header (E-Mail)

Ok, wieder was gelernt, danke ^^

Hier also der Header. Die Emailadressen habe ich durch *** ersetzt.

Zitat:

X-Apparently-To: *** via 217.146.176.12; Mon, 09 Jan 2012 08:23:19 +0000
Received-SPF: none (domain of yahoo.de does not designate permitted sender hosts)
X-YMailISG: kV3mh6AWLDvyQiTXecdSUA1DkGCVr20PCPpyEdi7YJY6YW73
ZEQ.UZi.h9VNB6hWofT.7RgJofexPgH0oq4dm9Ctweij6vuGFOgqUAZi95aE
rx_pHi2mhQQwHZfRU0bNWqxyXrWsNGOv8.7J45LxqnlcjQcdJtUdThqwQgkZ
J_6zkx7vpuWVOfMHIQVPWvu32Eu2kB9GUUbTg5yPMovx_2oz.5FOmWl7.Ro_
MkwYMX2D935eTfeN0YGMbeFgHGzwt3FKSqxAuwz1rxmKefYjjdHwAz9oPxQi
yvgNEHOi4eIABOXSKPtgnmgapPNZGnMysGigz5IVxd0NZMIrEOcnqESXIHhu
5JRzyfj49aSlGMH_Y5QJy8Oh_iPtcToH_PvkefElMw9zhnnINCguAPn.7usK
S453wEJo9B.h36t7BlgyUHJ.W_8IQEA7TO8EG7zeLC_mavRnEIDLZ_yzS55V
qFiIrDfWN3AoITTjpYq6Mb8rC7saKUK95G3hW00M_4NcPOINcB0YO8_hdYZM
MgRzz5Gc4c.8quwHvWmVsx1XuQqHk2td70hjlr0l46Sy83n989PO4hd3MLUh
50yYUnZEGg9hS6sr4qspDHMnc2CCI_48JAP2dqANcVaonjUGNArjwMdkws4Z
whsIUMPMJq6MOkq0wqsQD3ARFYuqZEQjCpKepFQ9GX7qlsyBdZUom9V.WZdU
MDbOAQ_TcEJoPnzTdThunvcBRXANi0jtPKJBNpUsqazFQ9bnG38uwi2O6Qcn
B_OnLekm_RclIInfWpAzJRxxYHi1Ggf_2.7F4h426VkFS7925KYHAI6cDnom
O0bcnxM2tNQiRObBRQam35aGHMVDftg8oyDWQvcLVuAgpT_Br6odOvQSVMri
a8nwCbB7pHuxq_PFogQXRT17_.BWds.ogWIpFeZgP1UOl3k02FSBTGvGaP3y
sCuos_Iu2tDl5UY5hJ.8SFTajHxdYpJYNKV4kDYvYdEwy8OjMb0l3TpNgHa9
wgA5TwIOkz.eWpq4Thy0oincKMMuNIo6CvATuNQuNREUcBcYUvfaIry0BUv_
gXqPK0k-
X-Originating-IP: [217.146.177.78]
Authentication-Results: mta1044.mail.ukl.yahoo.com from=yahoo.de; domainkeys=pass (ok); from=yahoo.de; dkim=pass (ok)
Received: from 127.0.0.1 (HELO nm25-vm2.bullet.mail.ukl.yahoo.com) (217.146.177.78)
by mta1044.mail.ukl.yahoo.com with SMTP; Mon, 09 Jan 2012 08:23:19 +0000
Received: from [217.146.183.217] by nm25.bullet.mail.ukl.yahoo.com with NNFMP; 09 Jan 2012 08:23:19 -0000
Received: from [217.146.183.61] by tm10.bullet.mail.ukl.yahoo.com with NNFMP; 09 Jan 2012 08:23:19 -0000
Received: from [127.0.0.1] by omp1030.mail.ukl.yahoo.com with NNFMP; 09 Jan 2012 08:23:19 -0000
X-Yahoo-Newman-Id: 402441.90358.bm@omp1030.mail.ukl.yahoo.com
Received: (qmail 55411 invoked by uid 60001); 9 Jan 2012 08:23:19 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.de; s=s1024; t=1326097399; bh=G5UcKM80PKvNJLouZZ0j3dXgQCnSxCFkuHIjOe7hD+k=; h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding; b=k0PY6Ws3sCw9NiIwdYz2ZSc2WMaOEg7dBy7FW2h+9kEy0J+MggoQPZ/OLrTkUm5H4i1K02f8habmCcp6MuWwNL6J94b9wddZM95lz6P7mTDhF3Ms86c7nAO/p6Pus8Ra6uJhfFMKkbfctrpCOTVDmdEFhHg9YwbcEevahA14FVY=
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.de;
h=X-YMail-OSG:Received:X-Mailer:Message-ID:Date:From:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding;
b=Xt36xfq6oJCTgfH/4SY1YUEsRFT5WsT6c7aANlKicAxdzduhtBB8YpdLBSy3oB33u3ot/ePeN3CuEVxwCL1c+oHpuitLn9X5HZ8sXqIyWlTv4w7I7iaQXzA+6OoDVmnD8FKsK7FTdPkuTy4nUbcDPDIcoVOlbNCOppx4kpReB/Q=;
X-YMail-OSG: BhhgY5MVM1lsO.vRGgx8oaEE8KaT5MFzfq47eFxoK0OKTBW
7XMMqrTHT9m2owrPi8ESPAgTgC7D2wp.q02dvEQzv474uKeQlKRc1u7Uh5Iy
YfziUVBFJUWW2Y3Dex3Xbb3uxbH3NZ9I252gYc2rnxj7MoCrwhLBQwjsGYCj
MkwaUxr6bTXyDsbtxms6ytB4rSx4y5AC9v.YkZBxKGHa1YkzztbW3GzCl_Pa
AnMLrzmhoyPdQlHuUoOZJac5q1heRypqjv7LAiTbd2QPSPTV8HwV7TM7T7Ac
EtWKSvo.JrLoiIbQkn1LvbUHpLf.sfmY7sACh7pxPHTc4HyvcK8IXKMBoKnz
LpBM5JMbRp7gyjostMw6y7RkBId.jBFhM7M7Cv2NA7MQN7uAprrMEDElij75
fpt4shW2oick_43AweumqatWu5NnEdIvO.3eTT_8QAHubKRP0AOwemVCWggw
JMrXYCpRBp9_Kv9Uo70yd4z20BOjv3eWZbA40IdQYEnXjV8MM1cofNsjDikc
TUj28JuCL_D0DZga.62FLkVUni4lDQpJY2w--
Received: from [91.83.120.160] by web26302.mail.ukl.yahoo.com via HTTP; Mon, 09 Jan 2012 08:23:19 GMT
X-Mailer: YahooMailWebService/0.8.115.331698
Message-ID: <1326097399.41060.yint-ygo-j2me@web26302.mail.ukl.yahoo.com>
Date: Mon, 9 Jan 2012 08:23:19 +0000 (GMT)
From: ***
Subject:
To: ***
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable

=0Ahxxp://nicomarketing.gr/january.php?hoveti=3D71&isydafofjbe=3D356&byvyqj=
don=3D77

Zitat:

Received: from [91.83.120.160] by web26302.mail.ukl.yahoo.com via HTTP; Mon, 09 Jan 2012 08:23:19 GMT
X-Mailer: YahooMailWebService/0.8.115.331698

Hm, also wenn ich das richtig sehe hat irgendeiner aus Ungarn => [91.83.120.160]
über den WebMailer von Yahoo was geschickt. Könnte auch erklären, warum der Spam an dein Adressbuch geht, sofern du dieses auch im Yahoo-Konto pflegst und nicht nur im Mailclient.

Tauchen die Spammails bei dir im Yahoo-Konto auf? Mal prüfen. Wenn das über den Webmailer passiert, kannst du das so auch nicht im Mailclient wie Outlook oder Thunderbird sehen nur u.U. wenn der Mailclient die Mails via IMAP abruft.


Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Soo, da bin ich wieder.

Also die gesendeten Mails tauchen nur in beim Yahoo-Webmailer als gesendet auf. Die Kontakte, an die die Spams gehen, stammen alle aus dem Adressbuch des Webmailers, nicht aus dem Adressbuch von WindowsLiveMail. Dort tauchen die Spams auch nicht als "gesendet" auf.

Wie ich beobachten konnte werden die Spams wohl zweimal am Tag versendet, einmal morgens gegen 6, einmal abends gegen 9. Nachdem ich gestern Abend wieder darauf hingewiesen wurde doch bitte keine Spammails mehr zu verschicken, habe ich alle Kontakte im Webmailer gelöscht und siehe da, heute morgen wurden keine weiteren Mails versendet.

Ich werde das heute mal den Tag über beobachten und schauen ob das wirklich was gebracht hat. Allerdings behandelt diese Lösung ja auch nur die Sympthome, nicht aber die Ursache des Problems...

Ich habe beide Scanns durchlaufen lassen, hier die Logfiles:

Malware:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.09.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
***:: *** [Administrator]

Schutz: Aktiviert

09.01.2012 21:09:01
mbam-log-2012-01-08 (10-31-34).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 452557
Laufzeit: 1 Stunde(n), 23 Minute(n), 37 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

ESET:

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=1b263e6d1f0e584484f92ff063b23e4c
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-10 12:57:58
# local_time=2012-01-10 01:57:58 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1797 16775165 100 94 30024 62683547 22812 0
# compatibility_mode=5893 16776573 100 94 116285 77776576 0 0
# compatibility_mode=8192 67108863 100 0 4154 4154 0 0
# scanned=218333
# found=6
# cleaned=0
# scan_time=10351
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarApp.dll	a variant of Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarEng.dll	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarsrv.exe	probably a variant of Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll	Win32/Toolbar.Babylon application (unable to clean)	00000000000000000000000000000000	I
C:\Users\***\Downloads\SoftonicDownloader_fuer_windows-7-logon-background-changer.exe	a variant of Win32/SoftonicDownloader.A application (unable to clean)	00000000000000000000000000000000	I
         

Zitat:

nicht aber die Ursache des Problems...

Und die ist noch unbekannt. Es kann zumindest folgende denkbare Ursachen geben, warum der Spammer dein Passwort zum Yahookonto kennt:

- Passwort ist zu einfach zu erraten/knacken
- Passwort wurde auf einer Maschine eingetippt die mit mit einem Keylogger infiziert ist

Soo, ich bin's nochmal. Nachdem ich noch einmal das Passwort geändert sowie das Adressbuch im Webmailer gelöscht habe, hat der Spuk nun offenbar ein Ende!

Vielen Dank noch einmal für die Hilfe!