Hallo..
Ich bekomme seit ca 4 Tagen immer diese "kein absender" E-mails..
Ich habe google durchsucht und herrausgefunden, dass mein E-mail account nun spammails verteilt, mit der Bemerkung: "Letzte Mahnung..
Nun möchte ich diesen mist wieder loswerden..
Ich bitte um Hilfe!!

Gruß T-13

Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Um zu sehen ob hier wirklich etwas über Konto gespammt wird oder ob hier nur Adressfälschung vorliegt müsstest du mal den genauen Wortlaut von drei solcher E-Mails als Beispiel posten

Bitte beachten => http://www.trojaner-board.de/125889-...tml#post941520

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Dies sind 3 Beispiele des genauen Wortlautes:

1.

Code: Alles auswählenAufklappen

ATTFilter

This message was created automatically by mail delivery software.

 A message that you sent could not be delivered to one or more of
 its recipients. This is a permanent error. The following address
 failed:

 "bradbraith@sbcglobal.net":
 SMTP error from remote server in greeting:
 host: mx2.sbcglobal.am0.yahoodns.net:
 5.7.1 [BL21] Connections will not be accepted from 82.165.159.2, because the ip is in Spamhaus's list; see hxxp://postmaster.yahoo.com/550-bl23.html


 --- The header of the original message is following. ---

 Received: from server ([94.74.143.151]) by smtp.web.de (mrweb103) with ESMTPA
 (Nemesis) id 0Md4pC-1TtUCn3ADC-00IBRI for <bradbraith@sbcglobal.net>; Wed, 21
 Nov 2012 21:08:47 +0100
 MIME-Version: 1.0
 Date: Wed, 21 Nov 2012 23:38:31 +0330
 X-Priority: 3 (Normal)
 X-Mailer: Ximian Evolution 1.7.1 (4.9.3-8)
 Subject: Looking for Manager
 From: acfa-t13@web.de
 To: bradbraith@sbcglobal.net
 Content-Type: text/plain
 Content-Transfer-Encoding: quoted-printable
 Message-ID: <OUTLOOK-IDM-8efe4561-c296-b1f4-1352-6b26f6b99dcf@server>
 X-Provags-ID: V02:K0:vnliGAIewFsvKjGDKQHj6Q9iI4gh8IeRAasDm6A619t
 i6+LmKne9/m/DrmoW/0MqSZKWx2v53i1Zum8LG9JSSI5UpHUmo
 Ylurg2IUJgWbwcVuMJN6eaAR9dzRgIHoXDDnGbkizh/ZhP6t9I
 q2TOGpyMSdmjCge2uNZMahKEFRFgYijrlWdYahHpJkxiZ+dWAG
 QCV+cl0FRWJNL4gME5yRw==
         

2.

Code: Alles auswählenAufklappen

ATTFilter

This message was created automatically by mail delivery software.

 A message that you sent could not be delivered to one or more of
 its recipients. This is a permanent error. The following address
 failed:

 "picintami100@yahoo.co.id":
 SMTP error from remote server in greeting:
 host: mx-apac.mail.gm0.yahoodns.net:
 5.7.1 [BL21] Connections will not be accepted from 82.165.159.35, because the ip is in Spamhaus's list; see hxxp://postmaster.yahoo.com/550-bl23.html


 --- The header of the original message is following. ---

 Received: from server03.neroupos.local ([87.228.156.76]) by smtp.web.de
 (mrweb102) with ESMTPA (Nemesis) id 0Meji8-1Tv5Nw1TOS-00OR6o for
 <picintami100@yahoo.co.id>; Wed, 21 Nov 2012 19:38:08 +0100
 MIME-Version: 1.0
 Date: Wed, 21 Nov 2012 20:37:01 +0200
 X-Priority: 3 (Normal)
 X-Mailer: Microsoft Outlook Express 7.28.0036.0101
 Subject: Become open minded being gay
 From: acfa-t13@web.de
 Reply-To: abusereport@google.com
 To: "vian100" <picintami100@yahoo.co.id>
 Content-Type: text/plain
 Content-Transfer-Encoding: quoted-printable
 Message-ID: <OUTLOOK-IDM-c436b094-2672-d693-a1e0-2f62eeb89cbd@server03.neroupos.local>
 X-Provags-ID: V02:K0:al8Z3N6vaAxFLKCz85U+XQ/xklXz2O8Sx+GtzI+9h7t
 rRKEqzKl/2GcvjN77uMKW1q7VxyobP2957x8UvdK/ccn3c70hT
 KVtUkKCi8YRkSVwFwO7s2UjwtsxwWTxj/egYwniy6B1Tw9Ch2z
 l+WTfZmttl4Mqln9uQ4YjCfgPVZvrUCf/Pxb95tL9k2Z0G7yt5
 0jL9rfz7mVWaC0FKclx4w==
         

3.

Code: Alles auswählenAufklappen

ATTFilter

This message was created automatically by mail delivery software.

 A message that you sent could not be delivered to one or more of
 its recipients. This is a permanent error. The following address
 failed:

 "erkanilver@hotmail.com":
 SMTP error from remote server after MAIL command:
 host: mx1.hotmail.com
 DY-001 (COL0-MC2-F26) Unfortunately, messages from 82.165.159.2 weren't sent. Please contact your Internet service provider. You can tell them that Hotmail does not relay dynamically-assigned IP ranges. You can also refer your provider to hxxp://mail.live.com/mail/troubleshooting.aspx#errors.


 --- The header of the original message is following. ---

 Received: from costaoeste ([177.19.230.15]) by smtp.web.de (mrweb001) with
 ESMTPA (Nemesis) id 0MAdb9-1TQXVo1RNr-00C10c for <erkanilver@hotmail.com>;
 Wed, 21 Nov 2012 19:11:00 +0100
 MIME-Version: 1.0
 Date: Wed, 21 Nov 2012 16:11:04 -0200
 X-Priority: 3 (Normal)
 X-Mailer: Microsoft Office Outlook, Build 60.9.7572
 Subject: Are you still paying for shipping?
 From: acfa-t13@web.de
 To: erkanilver@hotmail.com
 Content-Type: text/html;
 charset="iso-8859-1"
 Content-Transfer-Encoding: quoted-printable
 Message-ID: <OUTLOOK-IDM-2bb489ad-194d-1d58-adec-dd90fad9fd4b@costaoeste>
 X-Provags-ID: V02:K0:eWmnf7jDQVsCllvyhYuO4dtxJJifjyGxjPLpA9kH+pa
 0KIkxwvulvhSVgq57AXy1wneI6XHKFkKrDSo4xJ6ObcSOMKY4S
 H1J53rz1MYW0lWqYzdAaI6gLICCg4GzBpR270Z1X4vUUp0PJne
 mRa6zaqLwmEBeVs465OuA6pGcI2Q5TN8ziKWgAaZBRvHW/GLYD
 vm9XM+BhZsgwWxhdibwqA==
         

Jew. in diesen drei Stausmails steht

Code: Alles auswählenAufklappen

ATTFilter

Received: from server ([94.74.143.151]) by smtp.web.de (mrweb103) with ESMTPA
Received: from server03.neroupos.local ([87.228.156.76]) by smtp.web.de  (mrweb102) with ESMTPA
Received: from costaoeste ([177.19.230.15]) by smtp.web.de (mrweb001) with ESMTPA
         

D.h. die wurden wenn ich das richtig sehe immer über den smtp-server von web.de verschickt
Ändere mal umgehend das Passwort zu deinem web.de Konto oder hast das schon gemacht? Hatte erst gestern so einen Fall, da hörten diese Mails auf nachdem das Passwort geändert wurde

Nein, mein Passwort habe ich noch nicht geändert.
Ich habe im Internet gelesen ich solle das auf keinen Fall von diesem Computer aus machen, sonsd hat dieser (ich nen ihn mal) "Virus" mein neues Passwort auch.
Soll ich ez trozdem tun?

Wenn du garnichts machst bleibt es auf Jeden Fall so!!
Und zur Not kann man immer noch von einer Linux-Live-CD alles abändern, da läuft dann garantiert kein Windows-Schädling

Ok..
Ich ändere mein Passwort.
Ich melde mich wieder.

Ok, wie unsicher war dein dein bisheriges gestrickt? Zur kurz, zu einfach?
Hast du nur diesen Rechner den du für web.de nutzt? Nur per Mailclient oder nur per Browser?

Also mein Altes war 9- stellig! (2 zaheln an der Front der Rest gewürfelte Kleinbuchstaben)
Ich hatte aus einer Seite mein PW vergessen und ein neues angefordert. Als ich es mir endlich merken konnte hab ich dieses generierte PW genommen.

Nun habe ich vorne und hinten jeweils 2 Stellen hinzugefügt.

Einen Mailclient benutze ich nicht. Ich finde es reicht wenn die Mails in ein Web Postfach (an Dritte) gehen. Da brauch ich nicht noch einen Client als Vierten
Mit an Dritte mein ich 1. Absender 2. Empfänger 3. Web (4. wäre dann Client)

Und ich gehe nur mit meinem PC in Web und machnmal mit dem Handy.
Ich gehe an keine anderen PC's denn selbsd wenn ich weiß ich hab nen Virus vertrau ich meinem PC mehr als allen anderen

Habe gerade (00:01 Uhr) eine weitere "Kein Absender" E-mail erhalten. Vll noch vor dem PW change. Ich schau morgen nach der Arbeit oder vor der Arbeit nocheinmal nach.
Das nervt mich -.-

Zitat:

Einen Mailclient benutze ich nicht. Ich finde es reicht wenn die Mails in ein Web Postfach (an Dritte) gehen. Da brauch ich nicht noch einen Client als Vierten

Du kannst den Mailclient doch über IMAP nutzen
Naja ich will dir da nicht reinreden, ich finde es über Mozilla Thunderbird sehr viel komfortabler als wenn ich meine Mails per Browser bei web.de verwalten und tippen müsste

Sind noch weitere Mails gekommen?

Ja sind wieder welche gekommen

Poste mal wieder die Kopfzeilen dieser Mails die du nach der Passwortänderung bekommen hast danach mal ein OTL Log machen

Mach bitte einen CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code: Alles auswählenAufklappen

ATTFilter

msconfig
netsvcs
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMROOT%\system32\drivers\*.sys /lockedfiles
%SYSTEMROOT%\System32\config\*.sav
%SYSTEMROOT%\*. /mp /s
%SYSTEMROOT%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf .
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

1. Received: from server2003.lideranca.local ([201.74.228.219]) by smtp.web.de
(mrweb001) with ESMTPA (Nemesis) id 0LhvUI-1Sy4SR2HdC-00mzPe for
<pszapata@gmx.de>; Wed, 21 Nov 2012 00:53:38 +0100
2. Received: from server2008.BRUSTICS.local ([203.109.245.253]) by smtp.web.de
(mrweb102) with ESMTPA (Nemesis) id 0LxfKp-1TDmuX1owl-0179RV for
<projekt971@gmx.de>; Wed, 21 Nov 2012 02:07:15 +0100
3. Received: from SERVIDORUNAI ([186.216.67.10]) by smtp.web.de (mrweb002) with
ESMTPA (Nemesis) id 0M89jd-1TNu4c1cwr-00wC5G for <creediscool777@yahoo.com>;
Wed, 21 Nov 2012 22:39:52 +0100

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 22.11.2012 18:20:46 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\T-13\Desktop
 Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,62 Gb Total Physical Memory | 2,60 Gb Available Physical Memory | 71,78% Memory free
7,25 Gb Paging File | 6,25 Gb Available in Paging File | 86,21% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 465,66 Gb Total Space | 270,29 Gb Free Space | 58,05% Space Free | Partition Type: NTFS
Drive E: | 596,07 Gb Total Space | 230,47 Gb Free Space | 38,67% Space Free | Partition Type: NTFS
 
Computer Name: SOULHUNTER | User Name: T-13 | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.11.22 18:13:12 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\T-13\Desktop\OTL.exe
PRC - [2012.10.12 15:33:50 | 001,668,248 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Mouse and Keyboard Center\ipoint.exe
PRC - [2012.10.12 15:33:50 | 001,093,272 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Mouse and Keyboard Center\itype.exe
PRC - [2012.10.10 21:15:04 | 001,258,856 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2012.10.02 20:29:14 | 000,864,616 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\Display\nvxdsync.exe
PRC - [2012.10.02 20:28:55 | 001,820,520 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\Display\nvtray.exe
PRC - [2012.10.02 13:15:38 | 000,382,824 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2012.09.29 19:54:26 | 000,399,432 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.09.12 16:25:24 | 000,287,824 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\NisSrv.exe
PRC - [2012.09.12 16:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MsMpEng.exe
PRC - [2012.09.12 16:19:44 | 000,947,176 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2012.07.27 21:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.06.08 14:15:08 | 003,921,552 | R--- | M] (VIA) -- C:\Programme\VIA\VIAudioi\VDeck\VDeck.exe
PRC - [2012.05.04 12:32:44 | 000,027,760 | ---- | M] (VIA Technologies, Inc.) -- C:\Windows\System32\ViakaraokeSrv.exe
PRC - [2011.02.25 06:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.11.20 13:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2010.11.20 13:17:47 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2010.01.09 20:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE
PRC - [2009.08.18 10:29:22 | 001,529,728 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
PRC - [2009.08.18 10:29:22 | 000,183,152 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
PRC - [2009.07.14 02:14:21 | 000,294,400 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\ink\InputPersonalization.exe
PRC - [2006.06.23 10:24:12 | 000,343,552 | ---- | M] (AVM Berlin GmbH) -- C:\Programme\avmwlanstick\FRITZWLanMini.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.11.10 20:57:08 | 000,093,696 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll
MOD - [2012.06.08 14:14:46 | 000,080,528 | R--- | M] () -- C:\Programme\VIA\VIAudioi\VDeck\QsApoApi.dll
MOD - [2012.06.08 14:14:44 | 000,113,296 | R--- | M] () -- C:\Programme\VIA\VIAudioi\VDeck\Dts2ApoApi.dll
MOD - [2011.03.16 23:11:16 | 004,297,568 | ---- | M] () -- C:\Programme\Common Files\microsoft shared\OFFICE14\Cultures\OFFICE.ODF
 
 
========== Services (SafeList) ==========
         

Mehr steht da nicht an Kopfzeilen? Bitte prüfen
Du kannst mir auch mal exemplarisch drei dieser Mails mal weiterleiten => t.13.tbcosinus@spamgourmet.com

Log von OTL ist leider unvollständig, da fehlt fast alles!

Wie da fehlt fast alles? Mehr war da nich
Vll hat sich das Problem gelöst..
seit dem 22.11 um 1:45 Uhr sind keine Mails mehr eingetroffen
Ich beobachte noch bis Sonntag un geb dann Bescheid.

Danke für die Hilfe