Hallo zusammen,

ich bin im Moment jemandem dabei behilflich herauszufinden, ob von einem Yahoo-Postfach aus Spammails verschickt werden.
Der Hinweis kam von einer bekannten Person, die wohl eine E-Mail erhalten hat, in der nur ein Link enthalten war. Diese Mail selbst habe ich leider nicht, jedoch eine Ähnliche, die die Person selbst erhalten hat (nachdem wir uns auf die Suche des Übeltäters gemacht haben; der Link wurde nicht aufgerufen):

Code: Alles auswählenAufklappen

ATTFilter

Delivered-To: empfänger@gmail.com
Received: by 10.194.109.229 with SMTP id hv5csp162585wjb;
        Mon, 9 Jun 2014 18:33:05 -0700 (PDT)
X-Received: by 10.60.39.103 with SMTP id o7mr29443159oek.17.1402363984463;
        Mon, 09 Jun 2014 18:33:04 -0700 (PDT)
Return-Path: <absender@yahoo.com>
Received: from cape.webserversystems.com (cape.webserversystems.com. [174.121.162.130])
        by mx.google.com with ESMTPS id a4si29556131oeq.63.2014.06.09.18.33.03
        for <empfänger@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 09 Jun 2014 18:33:04 -0700 (PDT)
Received-SPF: neutral (google.com: 174.121.162.130 is neither permitted nor denied by domain of absender@yahoo.com) client-ip=174.121.162.130;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 174.121.162.130 is neither permitted nor denied by domain of absender@yahoo.com) smtp.mail=absender@yahoo.com;
       dmarc=fail (p=REJECT dis=NONE) header.from=yahoo.com
Received: from [109.87.18.64] (port=3988 helo=prodigalservices.com)
	by cape.webserversystems.com with esmtpa (Exim 4.82)
	(envelope-from <absender@yahoo.com>)
	id 1WuAvv-000G9B-91; Mon, 09 Jun 2014 20:33:03 -0500
Message-ID: <501790BAD8008E475AFD87297267026C@prodigalservices.com>
From: "absender" <absender@yahoo.com>
To: "empfänger" <empfänger@googlemail.com>,
 "empfänger2" <empfänger2@loewenmarkt.de>,
 "eBay" <e3-1473034979279-2f20II53c303II4@reply.ebay.de>
Subject: =?ISO-8859-1?Q?absender=5Fabsender=40yahoo.com?=
Date: Mon, 10 Jun 2014 02:33:02 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="----=_NextPart_000_D848_95464D86.145961FB"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - cape.webserversystems.com
X-AntiAbuse: Original Domain - googlemail.com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - yahoo.com
X-Get-Message-Sender-Via: cape.webserversystems.com: authenticated_id: steve@prodigalservices.com

This is a multi-part message in MIME format.

------=_NextPart_000_D848_95464D86.145961FB
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

hxxp://featherexpressions.com/narjzznk/fzuetvda.otoqrroeogjp
------=_NextPart_000_D848_95464D86.145961FB
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

=EF=BB=BF<HTML><HEAD><META http-equiv=3D"content-type" content: text/html;=
 charset=
=3DUTF-8></HEAD><BODY>hxxp://featherexpressions.com/narjzznk/fzuetvda.otoqrroe=
ogjp</BODY></HTML>

------=_NextPart_000_D848_95464D86.145961FB--
         

In der Mail oben haben ich die E-Mail-Adressen von Empfänger und Absender (jeweils immer vorname.nachname@xxx.xxx) durch "empfänger" und "absender" anonymisiert.


Ich habe bereits im abgesicherten Modus in den Registryschlüsseln zum Starten von Programmen (Run, RunOnce in den Bäumen HKEY_CURRENT_USER und HKEY_LOCAL_MACHINE) nach auffälligen Einträgen gesucht, jedoch nichts gefunden.
Auch im Autostart des Startmenüs befindet sich nichts. Lediglich die durch svchost gestarteten Prozesse habe ich noch nicht durchgesehen.


Als Scans habe ich bereits einen Scan mit dem lokal installierten Virenscanner (Avast) und je einen Onlinescan mit Trendmicro bzw. Bitdefender durchgeführt. Jeweils die ausführlichen Scans.
Beide zeigten keine Funde an.

Beim lokalen Scanner habe ich vorher die Virendefinitionen noch geupdated und es zeigt mir zumindest einen aktuellen Stand der Virendefinitionen an (genau die Uhrzeit des zuletzt durchgeführten manuellen updates) - falls das Update nicht durch einen Trojaner verhindert wurde.


Nun bin ich leider etwas hilflos, was ich als nächstes sinnvoll noch machen könnte. Vor allem habe ich auch das Problem, dass ich bestenfalls für ein paar Stunden am Wochenende selbst an dem Laptop sitzen kann.


Könntet Ihr mir / der bekannten Person bitte behilflich sein, um sicherzustellen, ob entweder kein Befall vorliegt oder wenigstens festzustellen, welcher Befall vorliegt und wie man ihn beseitigen kann.

Die bekannte Person wird sich auch hier im Forum anmelden und ggf. nötige Schritte/Scans direkt auf dem Computer durchführen. Da die Person leider nicht ganz so fit in Sachen Schädlingsbekämpfung ist, bitte ich euch, die Anweisungen etwas ausführlicher auszuformulieren, da ich nicht immer hier im Forum mitlesen kann und es dann quasi übersetzen würde. Ich versuche jedoch mein bestes.


Vielen Dank bereits im Voraus für eure Hilfe!

Hi und

Bitte erstmal dazu diesen Artikel lesen => Spam-Welle rollt über Yahoo-Konten | heise online

Ah, jetzt gibts also doch eine Meldung. Gestern hatte ich noch vergeblich die bekannten Seiten danach durchsucht.
Der Rat heisst im Moment also noch abwarten und Tee trinken oder doch vorsichtshalber noch weitere Schritte unternehmen?
Passworte für die Mailkonten sind übrigens schon geändert und es sind auch keine unbekannten Verknüpfungen mit anderen Mailkonten eingerichtet (das hatte ich oben vergessen zu erwähnen).

Vielen dank schon mal für die schnelle Antwort!