Hallo Trojaner-Gemeinde,

ich habe ein Problem: Und zwar wird von meinem sekundären E-Mail-Postfach seit gestern ca. alle zwei Minuten eine Spam-E-Mail geschickt, mittlerweile dürften es wohl mehr als 1000 sein. Ich bekomme immer eine Fehlermeldung zurück, die jetzt natürlich mein Postfach fluten, daher bin ich darauf aufmerksam geworden. Wenn ich in meinen "Gesendet" Ordner auf web.de gehe, sind keine E-Mails drin. Wie soll ich micht jetzt verhalten? An einem Virus kann es eigentlich nicht liegen, da ich mich, wenn überhaupt mal, nur über einen Browser bei web.de einlogge. Und in diesem Jahr glaube ich, hab ich mich dort noch überhaupt nicht angemeldet, da alle E-Mails die ich dort bekomme auch als Kopie in meinen Hauptordner bei Hotmail einlaufen. Hab bis jetzt nur das Passwort geändert.

Danke für Eure Hilfe im Voraus.

Gruß Flo

Wie kommst du dann drauf, das tatsächlich von deinem Konto Spammails versendet werden?
Verhindert web.de nicht immer noch das ständige Versenden (Zugriff) bei einem Freemail-Account?

Merke, nur weil dein Absender auftaucht und du darauf "Bounces" (Fehlermeldungen von nicht zustellbaren Mails) bekommst, muss es nicht dein Konto sein, es reicht eben deine Adresse als Absender.
Schau mal im Header so eines "Bounces" ob web.de tatsächlich der Original-Absende-Server ist.

Das Passwort ändern (war es vorher "trivial"?) ist schon mal gut, selbst wenn du das damit abgestellt haben solltest, könntest du möglicherweise aber trotzdem noch tagelang "Bounces" bekommen. Manche Mailserver (der Empfänger) versuchen tagelang eine Mail auch an nicht existente Adressaten zuzustellen.

Hey,

danke erstmal für deine schnelle Antwort

Nee, mein Passwort war nicht trivial und ich kann mir nicht vorstellen, dass darauf jemand kommt. Brutforcen könnte man das auch nicht. Ich hab mal einen Teil der Fehlermeldung kopiert:

Zitat:

--- The header of the original message is following. ---

Received: from fotcogm ([188.241.220.156]) by smtp.web.de (mrweb001) with
ESMTPA (Nemesis) id 0LgHau-1StgSA2Y0y-00nX1E; Sat, 01 Dec 2012 14:15:03 +0100
Subject: kyvidu
Date: Sat, 1 Dec 2012 05:11:29 -0700
From: meine_E-Mail@web.de
To: diverse Hotmail E-Mailadressen
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Message-ID: <0MGARb-1TST6e1ReZ-00FIWx@smtp.web.de>
X-Provags-ID: V02:K0:3rogX48UKQT4vFZGgV5GnHello1/N2LR8vT9cF51/xa
T+T2g/zAfiQRml+DbxWB9/wzALcqmDdBfRj8948dnSd3oi3/NN
DMIT6EUYS3VMicUp143AMOPb0RCAKO3V/7meOwnJnxZVrRCGOd
HLIXib/YsGF2VC1+UtPAoAkzXiiLsEdAqAny1ehV97yFhE69cX
bf9TQeHu5FNvyyXc80SRA==

Also sieht's schon so aus, als ob vom Web.de Server gesendet wurde, oder?

Danke!

Flo

Zitat:

Zitat von cooLpaC

Nee, mein Passwort war nicht trivial und ich kann mir nicht vorstellen, dass darauf jemand kommt. Brutforcen könnte man das auch nicht.

Da hast anscheinend eine ungenau Vorstellung davon, was "brute force" ist. Jedes (!), absolut jedes Passwort lässt sich durch einen Brute-Force-Angriff herausfinden, wenn man lange genug Zeit bekommt und sonst nicht gehindert wird. Du meinst eventuell eine Wörterbuchattacke?


Es mag auch ein Zugriff auf die Datenbank von web.de stattgefunden haben, 1und1 hat dies ja vor kurzem mir GMX schon gehabt und erst verschwiegen.

Zitat:

Zitat von cooLpaC

Also sieht's schon so aus, als ob vom Web.de Server gesendet wurde, oder?

Kommt darauf an was du alles geändert und/oder weggelassen hast.

Du solltest mal schauen, ob die angebliche Einlieferungszeit immer vor dem Zeitpunkt der Änderung des Passwortes liegt.

Ich weiß schon was "brutforcing" ist, allerdings hatte mein Passwort 9 Zeichen, Groß und Kleinbuchstaben so wie Zahlen und Sonderzeichen, also wenn jemand ein paar Jahre Zeit hat, viel Spaß Naja egal, vielleicht gab es wirklich einen Angriff auf die Datenbank, wobei ich ja dann nicht der einzige sein dürfte oder?

Das letzte Sendedatum war heute um 5:11 Uhr, mein Passwort hab ich kurz bevor ich den Eintrag geschrieben habe geändert.

Liebe Grüße

Zitat:

Zitat von cooLpaC

Ich weiß schon was "brutforcing" ist, allerdings hatte mein Passwort 9 Zeichen, Groß und Kleinbuchstaben so wie Zahlen und Sonderzeichen, also wenn jemand ein paar Jahre Zeit hat, viel Spaß

Theoretisch auch in 0,000001 ms geknackt. Du kennst den Startwert eines theoretischen Angreifers nicht und 9 Zeichen sind jetzt nicht ausufernd viel, via Internet und vor allem bei einem möglicherweise (möglicherweise aber auch nicht!) gut programmiertem Server sollte aber eine Schranke drinnen sein, die nach wenigen Fehlversuchen Bremsen reinhaut.

Zitat:

Zitat von cooLpaC

Naja egal, vielleicht gab es wirklich einen Angriff auf die Datenbank, wobei ich ja dann nicht der einzige sein dürfte oder?

Ja, wenn aber das Passwort von dir irgendwo benutzt oder im PC vermerkt ist (auch im Browser gespeichert), dann solltest du Malware auf deinem PC als mögliche Quelle in Betracht ziehen

Zitat:

Zitat von cooLpaC

Das letzte Sendedatum war heute um 5:11 Uhr

05:11:29 -0700.
5:11 ist die eingestellte Ortszeit des Versenders die 7 Stunden hinter GMT herhinkt, also wären es 12:11 GMT. Da der Web.de-Server die Nachricht aber um 14:15 Ortszeit (! => 13:15 GMT) empfangen hat, die IP-Adresse aber aus Rumänien stammt, würde ich der Absenderzeit rein überhaupt nicht trauen, die Zeitangabe des Servers dürfte schon verlässlicher sein - falls du da nicht mehrere Header vermischt hast.

Wie gesagt, ich hab mich seit mehreren Monaten nicht mehr in den Account eingeloggt, also ist es fast unmöglich, dass es an Malware liegt. Habe in der Zwischenzeit meinen Rechner auch neu aufgesetzt (vor 2 Wochen um genau zu sein).