Web.de Account versendet ungefragt Werbung - als Spam Schleuder missbraucht

peterimh · 23.11.2015, 10:45

Hallo Community,

ich bin neu im Forum und hoffe ihr wisst Rat.

Seit mehreren Wochen wird über meinen Web.de Account Spam verschickt.

Die Nachricht sieht wie folgt aus:
_________________

Hey!

New message, please read hxxp://bancanhogiaiviet.com/follow.php

"MEINE EMAIL ADRESSE"@web.de
__________________

Die Nachrichten gehen in großer Stückzahl an Gruppen und Personen, die ich meines Wissens noch nie direkt kontaktiert habe, die aber möglicherweise mal in cc oder bcc waren. Ich habe bei der letzten Aktion ca. 60 Nachrichten in meinen unbekannt Ordner erhalten die wie folgt aussehen:
________________________
This message was created automatically by mail delivery software.
A message that you sent has not yet been delivered to one or more of its
recipients after more than 72 hours on the queue on gluttony.doruk.net.tr.

The message identifier is: 1ZzW4b-0005vX-7M
The subject of the message is: Fw: new message
The date of the message is: Fri, 20 Nov 2015 04:52:55 -0800

The address to which the message has not yet been delivered is:

kayonga@media103.slippinese.com

No action is required on your part. Delivery attempts will continue for
some time, and this warning may be repeated at intervals if the message
remains undelivered. Eventually the mail delivery software will give up,
and when that happens, the message will be returned to you.
___________________________

Ich nutze einen iMAC mit neuesten Betriebssystem und ein Iphone für meine eMail Kommunikation. AVAST (Freeware) habe ich bereits drei mal durchlaufen lassen ohne erfolg. Ich habe mehrere Web.de Accounts aber die eMails gehen immer nur von einem de beiden Accounts ab und ein. Bei dem Account den des Betrifft habe ich auch bereits das Passwort geändert und auf dem iphone den Account rausgeshmissen und wieder neu angelegt. Selten nutze ich drei Seiten bei denen ich .pdf Dateien verkleinere und diese dann komprimiert wieder herunterlade.

1. hxxp://smallpdf.com/de/pdf-verkleinern
2. hxxp://pdf-verkleinern.online-umwandeln.de/
3. https://online2pdf.com/de/pdf-verkleinern

Vielleicht habe ich mir auch hier etwas eingefangen?!

Ich hoffe jemand von euch weiß Rat und ich kann den Mist endlich beenden. Hat jemand einen Rat für ein gutes Malware/ Trojaner Programm beim Mac?

Vielen Dank im Voraus für eure Hilfe.

Dante12 · 23.11.2015, 17:57

Das muss nicht unbedingt mit deiner Web.de-Adresse zu tun haben. Auch andere Zugänge wo du deine E-Mail-Adresse hinterlassen hast können betroffen sein. Daher alle Passwörter bei allen Diensten bei den du dich angemeldet (registriert) hast ändern.

Melde Dich auf deinem Mac bei allen Apple-Diensten ab (iTunes, iBook, iCloud usf.). Besuche anschließend die Apple ID Webseite und ändere dein Passwort und die Sicherheitsfragen. Anschließend kannst du dich wieder normal auf deinem Mac mit deinem neun Passwort anmelden.

EtreCheck Log

Lade dir bitte EtreCheck herunter.
Entpacken und Ausführen
Setze in dem Start-Fenster alle Haken wenn nicht schon voreingestellt und klicke Start EtreCheck.
Nach Abschluss erscheint das Fenster mit dem Log. Klicke oben links auf den Button Share Report und anschließend Copy Report to Clipboard.
Das Log befindet sich nun in der Zwischenablage (Clipboard). Füge den Inhalt mit Command-V hier in dein Thema ein. Bitte in Code-Tags siehe unten.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

Markiere das gesamte Logfile (geht meist mit COMMAND+A) und kopiere es in die Zwischenablage mit COMMAND+C.
Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
Setze den Cursor zwischen die CODE-Tags und drücke COMMAND+V.
Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

peterimh · 24.11.2015, 15:50

Danke für die schnelle Rückmeldung!!

Hier meine Infos aus Etrecheck:

Code:

ATTFilter

EtreCheck version: 2.6.4 (224)
Report generated 24.11.15, 15:43
Runtime 3:47
Download EtreCheck from hxxp://etresoft.com/etrecheck

Click the [Click for support] links for help with non-Apple products.
Click the [Click for details] links for more information about that line.

Hardware Information: (What does this mean?)
    iMac (27-inch, Mid 2011) 
    [Click for Technical Specifications]
    [Click for User Guide]
    iMac - model: iMac12,2
    1 2,7 GHz Intel Core i5 CPU: 4-core
    4 GB RAM Upgradeable
    [Click for upgrade instructions]
        BANK 0/DIMM0
            2 GB DDR3 1333 MHz ok
        BANK 1/DIMM0
            2 GB DDR3 1333 MHz ok
        BANK 0/DIMM1
            Empty   
        BANK 1/DIMM1
            Empty   
    Bluetooth: Old - Handoff/Airdrop2 not supported
    Wireless:  en1: 802.11 a/b/g/n

Video Information: (What does this mean?)
    AMD Radeon HD 6770M - VRAM: 512 MB
        iMac 2560 x 1440

System Software: (What does this mean?)
    OS X El Capitan 10.11.1 (15B42) - Time since boot: about 7 hours

Disk Information: (What does this mean?)
    WDC WD1001FALS-403AA0 disk0 : (1 TB) (Rotational)
        EFI (disk0s1) <not mounted> : 210 MB 
        ++ (disk0s2) / : 999.35 GB (761.34 GB free)
        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 

    OPTIARC DVD RW AD-5690H   ()

USB Information: (What does this mean?)
    Apple Inc. FaceTime HD Camera (Built-in) 
    Apple Inc. BRCM2046 Hub 
        Apple Inc. Bluetooth USB Host Controller 
    Apple Computer, Inc. IR Receiver 
    Apple Card Reader 

Thunderbolt Information: (What does this mean?)
    Apple Inc. thunderbolt_bus

Gatekeeper: (What does this mean?)
    Mac App Store and identified developers

Kernel Extensions: (What does this mean?)
        /Library/Application Support/Avast/components/fileshield/unsigned
    [loaded]    com.avast.AvastFileShield (2.1.0 - SDK 10.10) [Click for support]

        /Library/Application Support/Avast/components/proxy/unsigned
    [loaded]    com.avast.PacketForwarder (2.0 - SDK 10.10) [Click for support]

Launch Agents: (What does this mean?)
    [running]    com.avast.secureline.update-agent.plist [Click for support]
    [loaded]    com.avast.secureline.userinit.plist [Click for support]
    [running]    com.avast.update-agent.plist [Click for support]
    [loaded]    com.avast.userinit.plist [Click for support]
    [loaded]    com.oracle.java.Java-Updater.plist [Click for support]
    [running]    com.samsung.AWPAgent.plist [Click for support]
    [loaded]    com.teamviewer.teamviewer.plist [Click for support]
    [loaded]    com.teamviewer.teamviewer_desktop.plist [Click for support]

Launch Daemons: (What does this mean?)
    [loaded]    com.adobe.fpsaud.plist [Click for support]
    [loaded]    com.avast.init.plist [Click for support]
    [loaded]    com.avast.secureline.init.plist [Click for support]
    [loaded]    com.avast.secureline.uninstall.plist [Click for support]
    [loaded]    com.avast.secureline.update.plist [Click for support]
    [loaded]    com.avast.uninstall.plist [Click for support]
    [loaded]    com.avast.update.plist [Click for support]
    [loaded]    com.malwarebytes.MBAMHelperTool.plist [Click for support]
    [loaded]    com.microsoft.office.licensing.helper.plist [Click for support]
    [loaded]    com.oracle.java.Helper-Tool.plist [Click for support]
    [loaded]    com.teamviewer.teamviewer_service.plist [Click for support]

User Launch Agents: (What does this mean?)
    [failed]    com.apple.CSConfigDotMacCert-[...]@me.com-SharedServices.Agent.plist - /System/Library/Frameworks/CoreServices.framework/Frameworks/OSServices.framework/Versions/A/Support/CSConfigDotMacCert: Executable not found!
    [loaded]    com.avast.home.userinit.plist [Click for support]
    [loaded]    com.avast.secureline.home.userinit.plist [Click for support]

User Login Items: (What does this mean?)
    BetterTouchTool    Programm  (/Applications/BetterTouchTool.app)
    DaemonManager    Programm  (/Library/Printers/Samsung/Daemon/DaemonManager/DaemonManager.app)
    SPanel    Programm  (/Library/Printers/SPanel/Samsung/SPanel.app)

Other Apps: (What does this mean?)
    [running]    com.Samsung.DaemonManager.71072
    [running]    com.apple.xpc.launchd.oneshot.0x10000000.Microsoft Outlook
    [running]    com.apple.xpc.launchd.oneshot.0x10000001.firefox
    [running]    com.apple.xpc.launchd.oneshot.0x10000002.Microsoft Word
    [running]    com.apple.xpc.launchd.oneshot.0x10000005.Microsoft Excel
    [running]    com.apple.xpc.launchd.oneshot.0x1000000f.BetterTouchTool
    [running]    com.apple.xpc.launchd.oneshot.0x10000011.EtreCheck
    [loaded]    com.avast.account
    [loaded]    com.avast.crashreport
    [running]    com.avast.daemon
    [running]    com.avast.fileshield
    [running]    com.avast.helper
    [running]    com.avast.proxy
    [running]    com.avast.secureline.40352
    [loaded]    com.avast.secureline.app
    [loaded]    com.avast.secureline.burger
    [running]    com.avast.service
    [running]    com.hegenberg.BTTRelaunch.68512
    [loaded]    com.microsoft.Excel.46432
    [loaded]    com.microsoft.Word.47392
    [running]    com.microsoft.alerts.daemon.48352
    [running]    com.microsoft.autoupdate.fba.78112
    [running]    com.microsoft.outlook.databasedaemon.49312
    [loaded]    com.trendmicro.ATLoginItemHelper
    [running]    com.trendmicro.DrCleaner.41952
    [loaded]    org.mozilla.firefox.42912

Internet Plug-ins: (What does this mean?)
    FlashPlayer-10.6: Version: 19.0.0.245 - SDK 10.6 [Click for support]
    QuickTime Plugin: Version: 7.7.3
    Flash Player: Version: 19.0.0.245 - SDK 10.6 [Click for support]
    Default Browser: Version: 601 - SDK 10.11
    SharePointBrowserPlugin: Version: 14.5.8 - SDK 10.6 [Click for support]
    Silverlight: Version: 5.1.20125.0 - SDK 10.6 [Click for support]
    JavaAppletPlugin: Version: Java 8 Update 60 build 27 Check version

Safari Extensions: (What does this mean?)
    AdBlock
    Avast Online Security

3rd Party Preference Panes: (What does this mean?)
    Flash Player  [Click for support]
    FUSE for OS X (OSXFUSE)  [Click for support]
    Java  [Click for support]
    Paragon NTFS for Mac ® OS X  [Click for support]

Time Machine: (What does this mean?)
    Time Machine not configured!

Top Processes by CPU: (What does this mean?)
        19%    Microsoft Outlook
         6%    WindowServer
         3%    kernel_task
         1%    firefox
         1%    Finder

Top Processes by Memory: (What does this mean?)
    815 MB    firefox
    483 MB    kernel_task
    164 MB    mdworker(9)
    106 MB    com.apple.WebKit.WebContent(2)
    102 MB    Microsoft Outlook

Virtual Memory Information: (What does this mean?)
    40 MB    Free RAM 
    3.96 GB    Used RAM (917 MB Cached)
    3 MB    Swap Used 

Diagnostics Information: (What does this mean?)
    Nov 24, 2015, 02:21:36 PM    /Library/Logs/DiagnosticReports/firefox_2015-11-24-142136_[redacted].cpu_resource.diag [Click for details]
    Nov 24, 2015, 08:02:52 AM    Self test - passed
    Nov 23, 2015, 03:31:46 PM    /Library/Logs/DiagnosticReports/Microsoft Word_2015-11-23-153146_[redacted].cpu_resource.diag [Click for details]

Danke für die schnelle Rückmeldung!!

Ich hoffe, das hilft.

Herzliche Grüße

Dante12 · 24.11.2015, 16:42

Hast du noch ein mobile.me Account?
Das Programm wird nicht gefunden und die dazugehörige Startdatei wird beim jedem Start versucht zu laden (was natürlich fehlschlägt).

Wenn du kein mobile.me Account hast (wird mit Lion mitinstalliert und später entfernt)

Kopiere die komplette Zeile mit CMD + C aus der Code-Box unten
Code:
ATTFilter
```
~/Library/LaunchAgents/
         
```
Klicke auf den Finder und anschließend die Tastenkombination CMD + SHIFT + G
Füge den Inhalt mit CMD + V in das kleine Fenster und drücke Enter.
Suche nach folgenden Eintrag: com.apple.CSConfigDotMacCert-[...]@me.com-SharedServices.Agent.plist
Verschiebe diesen auf dein Desktop und mache einen Neustart.

In El Capitan gibt es den Ordner Library/LauchAgents/ nicht mehr. Solltest Du also dort nicht fündig werden, dann schau mal bitte unter:

Code:

ATTFilter

/Library/LaunchAgents/

Zum herausbewegen aus dem Ordner benötigst du aber hier dein Passwort.

Wenn du dadurch keine Probleme hast dann kannst du den Eintrag später in den Papierkorb verschieben.

Mache bitte anschließend ein neues EtreCheck-Log.

peterimh · 24.11.2015, 21:32

Hi dante12,

vielen Dank schon mal für deine Hilfe!

Einen mobile.me Account habe ich noch nicht. Daher bin ich wie in deiner Anleitung beschrieben vorgegangen.

Code:

ATTFilter

EtreCheck version: 2.6.4 (224)
Report generated 24.11.15, 21:31
Runtime 4:18
Download EtreCheck from hxxp://etresoft.com/etrecheck

Click the [Click for support] links for help with non-Apple products.
Click the [Click for details] links for more information about that line.

Hardware Information: (What does this mean?)
    iMac (27-inch, Mid 2011) 
    [Click for Technical Specifications]
    [Click for User Guide]
    iMac - model: iMac12,2
    1 2,7 GHz Intel Core i5 CPU: 4-core
    4 GB RAM Upgradeable
    [Click for upgrade instructions]
        BANK 0/DIMM0
            2 GB DDR3 1333 MHz ok
        BANK 1/DIMM0
            2 GB DDR3 1333 MHz ok
        BANK 0/DIMM1
            Empty   
        BANK 1/DIMM1
            Empty   
    Bluetooth: Old - Handoff/Airdrop2 not supported
    Wireless:  en1: 802.11 a/b/g/n

Video Information: (What does this mean?)
    AMD Radeon HD 6770M - VRAM: 512 MB
        iMac 2560 x 1440

System Software: (What does this mean?)
    OS X El Capitan 10.11.1 (15B42) - Time since boot: about 3 hours

Disk Information: (What does this mean?)
    WDC WD1001FALS-403AA0 disk0 : (1 TB) (Rotational)
        EFI (disk0s1) <not mounted> : 210 MB 
        ++ (disk0s2) / : 999.35 GB (761.04 GB free)
        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 

    OPTIARC DVD RW AD-5690H   ()

USB Information: (What does this mean?)
    Apple Inc. FaceTime HD Camera (Built-in) 
    Apple Inc. BRCM2046 Hub 
        Apple Inc. Bluetooth USB Host Controller 
    Apple Computer, Inc. IR Receiver 
    Apple Card Reader 

Thunderbolt Information: (What does this mean?)
    Apple Inc. thunderbolt_bus

Gatekeeper: (What does this mean?)
    Mac App Store and identified developers

Kernel Extensions: (What does this mean?)
        /Library/Application Support/Avast/components/fileshield/unsigned
    [loaded]    com.avast.AvastFileShield (2.1.0 - SDK 10.10) [Click for support]

        /Library/Application Support/Avast/components/proxy/unsigned
    [loaded]    com.avast.PacketForwarder (2.0 - SDK 10.10) [Click for support]

Launch Agents: (What does this mean?)
    [running]    com.avast.secureline.update-agent.plist [Click for support]
    [loaded]    com.avast.secureline.userinit.plist [Click for support]
    [running]    com.avast.update-agent.plist [Click for support]
    [loaded]    com.avast.userinit.plist [Click for support]
    [loaded]    com.oracle.java.Java-Updater.plist [Click for support]
    [running]    com.samsung.AWPAgent.plist [Click for support]
    [loaded]    com.teamviewer.teamviewer.plist [Click for support]
    [loaded]    com.teamviewer.teamviewer_desktop.plist [Click for support]

Launch Daemons: (What does this mean?)
    [loaded]    com.adobe.fpsaud.plist [Click for support]
    [loaded]    com.avast.init.plist [Click for support]
    [loaded]    com.avast.secureline.init.plist [Click for support]
    [loaded]    com.avast.secureline.uninstall.plist [Click for support]
    [loaded]    com.avast.secureline.update.plist [Click for support]
    [loaded]    com.avast.uninstall.plist [Click for support]
    [loaded]    com.avast.update.plist [Click for support]
    [loaded]    com.malwarebytes.MBAMHelperTool.plist [Click for support]
    [loaded]    com.microsoft.office.licensing.helper.plist [Click for support]
    [loaded]    com.oracle.java.Helper-Tool.plist [Click for support]
    [loaded]    com.teamviewer.teamviewer_service.plist [Click for support]

User Launch Agents: (What does this mean?)
    [loaded]    com.avast.home.userinit.plist [Click for support]
    [loaded]    com.avast.secureline.home.userinit.plist [Click for support]

User Login Items: (What does this mean?)
    BetterTouchTool    Programm  (/Applications/BetterTouchTool.app)
    DaemonManager    Programm  (/Library/Printers/Samsung/Daemon/DaemonManager/DaemonManager.app)
    SPanel    Programm  (/Library/Printers/SPanel/Samsung/SPanel.app)

Other Apps: (What does this mean?)
    [running]    com.Samsung.DaemonManager.71072
    [running]    com.Samsung.SPanel.73952
    [running]    com.apple.xpc.launchd.oneshot.0x10000000.firefox
    [running]    com.apple.xpc.launchd.oneshot.0x10000001.Microsoft Outlook
    [running]    com.apple.xpc.launchd.oneshot.0x10000002.Microsoft Excel
    [running]    com.apple.xpc.launchd.oneshot.0x10000005.Microsoft Word
    [running]    com.apple.xpc.launchd.oneshot.0x1000000f.BetterTouchTool
    [loaded]    com.avast.account
    [loaded]    com.avast.crashreport
    [running]    com.avast.daemon
    [running]    com.avast.fileshield
    [running]    com.avast.helper
    [running]    com.avast.proxy
    [running]    com.avast.secureline.40352
    [loaded]    com.avast.secureline.app
    [loaded]    com.avast.secureline.burger
    [running]    com.avast.service
    [running]    com.etresoft.EtreCheck.63392
    [running]    com.hegenberg.BTTRelaunch.68512
    [running]    com.microsoft.alerts.daemon.48352
    [running]    com.microsoft.autoupdate.fba.78112
    [running]    com.microsoft.outlook.databasedaemon.49312
    [loaded]    com.trendmicro.ATLoginItemHelper
    [running]    com.trendmicro.DrCleaner.41952

Internet Plug-ins: (What does this mean?)
    FlashPlayer-10.6: Version: 19.0.0.245 - SDK 10.6 [Click for support]
    QuickTime Plugin: Version: 7.7.3
    Flash Player: Version: 19.0.0.245 - SDK 10.6 [Click for support]
    Default Browser: Version: 601 - SDK 10.11
    SharePointBrowserPlugin: Version: 14.5.8 - SDK 10.6 [Click for support]
    Silverlight: Version: 5.1.20125.0 - SDK 10.6 [Click for support]
    JavaAppletPlugin: Version: Java 8 Update 60 build 27 Check version

Safari Extensions: (What does this mean?)
    AdBlock
    Avast Online Security

3rd Party Preference Panes: (What does this mean?)
    Flash Player  [Click for support]
    FUSE for OS X (OSXFUSE)  [Click for support]
    Java  [Click for support]
    Paragon NTFS for Mac ® OS X  [Click for support]

Time Machine: (What does this mean?)
    Time Machine not configured!

Top Processes by CPU: (What does this mean?)
         9%    firefox
         1%    Microsoft Outlook
         1%    WindowServer
         1%    fontd
         1%    kernel_task

Top Processes by Memory: (What does this mean?)
    721 MB    firefox
    464 MB    kernel_task
    221 MB    com.avast.daemon
    123 MB    mdworker(8)
    106 MB    com.apple.WebKit.WebContent(2)

Virtual Memory Information: (What does this mean?)
    62 MB    Free RAM 
    3.94 GB    Used RAM (1.02 GB Cached)
    26 MB    Swap Used 

Diagnostics Information: (What does this mean?)
    Nov 24, 2015, 05:29:06 PM    Self test - passed
    Nov 24, 2015, 02:21:36 PM    /Library/Logs/DiagnosticReports/firefox_2015-11-24-142136_[redacted].cpu_resource.diag [Click for details]
    Nov 23, 2015, 03:31:46 PM    /Library/Logs/DiagnosticReports/Microsoft Word_2015-11-23-153146_[redacted].cpu_resource.diag [Click for details]

Viele Grüße

Dante12 · 24.11.2015, 23:27

Zitat:

Einen mobile.me Account habe ich noch nicht

Die gibt es auch nicht mehr nur noch iCloud.

Wenn du alles so durchgeführt hast (vor allem Passwörter geändert) dann ist jetzt alles sauber

Du solltest darüber nachdenken deinen Speicher (Ram) zu erweitern. 4 GB sind wenig für El Capitan (darum wird sehr oft auf deine Festplatte) zugegriffen.

Zitat:

40 MB Free RAM 3.96 GB Used RAM (917 MB Cached) 3 MB Swap Used