Hy,

eine Bekannte äußerte den Verdacht von mir eine Spammail bekommen zu haben.
Ich nutze den Thunderbird und auch denn OExpress...

gibt es eine Möglichkeit nachzuprüfen ob ich Mails verschicke (also unwissentlich)???
Meine Addressen sind alles Freemailaddys.

Donni

*seufz*

Nur, wenn deine Bekannte dir mal die komplette Mail inkl. Header mitteilt. Dann kannst du anhand der Uhrzeit und der Absende-IP-Adress herausfinden, ob du überhaupt als Verursacher in Frage kommst.

Was der Header ist und wie man ihn sich anzeigen lässt steht unter http://www.th-h.de/faq/headerfaq.php

Gruß
Yopie

Ja werd ich sowieso machen,

das große ABER ist jedoch...
entweder kann jemand in die Mailaddys rein oder ist auf meinen PC.

Momentan lasse ich grad Kaspersky drüber rattern, mein Antivir den ich vorher hatte meldete nix.

*gruml*

Zitat:

Zitat von Donnergode

das große ABER ist jedoch...
entweder kann jemand in die Mailaddys rein oder ist auf meinen PC.

Das kann natürlich sein; aber wie kommst du drauf?

gruß
Yopie

Wie meinst du das? (Wie kommst du drauf?)

Na, du schreibst doch "entweder kann jemand in die Mailaddys rein oder ist auf meinen PC." Was veranlasst dich zu der Aussage?

Gruß
Yopie

Eine Mail mit zwielichtigem Inhalt kam bei einer Freundin an.
(Wurde als Spam gedeutet und auch von ihr selbst bestätigt)
Ich habe in den letzten zwei Tagen keine Mails versendet.
Sprich entweder hat jemand Zugriff auf meine Freemailaddys oder irgendwas ist auf meinem System.

Wobei ich letzteres weniger glaube aber dennoch für möglich halte.

Wenn die Verbindung zwischen dir und der Spam-Mail lediglich in der Absendeadresse besteht: Keine Sorge! Absendeadressen sind sehr leicht fälschbar. Ich könnte dir 'ne Mail mit dem Absender papst.benedikt[at]petersdom.va schicken, obwohl ich weder im Vatikan wohne noch Papst bin.

Alles klar!?

Gruß
Yopie

Mhh und wie funktioniert das?
Weil klingt irgendwie seltsam...
Aber du hast grad n interessierten Zuhörer.

Viele Mailserver nehmen Mails an, deren Absendeadresse nix mit dem Mailserver zu tun hat.

Vereinfachtes Beispiel:
- Mailserver heißt hoelle.hoe, nimmt aber alle Mails an
- ich sende über den Server mit Absendeadresse "papst[at]himmel.va" an "suender[at]erde.glo"
- Sünder bekommt Mail, und denkt sich, sie ist vom Papst. Ist aber nur von mir...

Normalerweise sollte aber mindestens per Username/Password-Kombination geprüft werden, ob ich überhaupt berechtigt bin, über den Server "hoelle.hoe" zu senden.

Da "hoelle.hoe" aber ein verlotterter Sündenpfuhl ist und jeden reinlässt, kann ich die Mail mit dem Papst als gefälschtem Absender über die Hölle schicken.

Und so machen das die Spammer... Amen.

Manchmal prüft der Mailserver auch noch, dass meine Absendeadresse zum Mailserver passt. Dann könnte ich vielleicht mit "teufel[at]hoelle.hoe" versenden. Obwohl ich gar nicht der Teufel bin...

War das verständlich?

Gruß
Yopie

Ja doch war es.

Finster finster das Ganze...

So aber nochmal zur Eingangsfrage...wenn etwas auf meinem System ist, wie könnte ich das finden?
Grade im Bezug auf dieses Beispiel hier...?

DANKE erstmal für die gute Erklärung

Zitat:

Zitat von Donnergode

So aber nochmal zur Eingangsfrage...wenn etwas auf meinem System ist, wie könnte ich das finden?

Wenn du Pech hast: gar nicht!

Eventuell aber mit einem guten AV-Programm. Bei konkretem Verdacht:

Poste ein Hijackthis-Log, und mache einen eScan. Beachte jeweils die Anleitungen:
HJT: http://www.trojaner-board.com/showthread.php?t=17493
eScan: http://www.trojaner-board.com/showthread.php?t=17492

Um Verdacht zu erhärten wären zunächst das HJT-Log und die Header der Mail interessant!

Gruß
Yopie

Logfile of HijackThis v1.99.1
Scan saved at 01:41:23, on 27.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Proggys\Antiviren Spy-Adware bekämpfung\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

-------------
Escan zeigte heute bei mir keine Errors und keine Funde an und Kaspersky ließ ich vorhin durchlaufen, der meckerte nur an den Passwortschutz von Spybot und Ad-aware herum, fand aber auch sonst nix.

Donni

ps: die rpcapd.ini ging weder mit fixen noch mit Killbox weg. Hab das schon versucht.

Das sieht i.O. aus! Welches Mailprogramm hat denn deine Bekannte? Am besten ist wirklich immer ein Blick in die Header der Mail...

Gruß
Yopie

Die geht über Yahoo selbst rein.

Ok ich lass es mir mal zeigen morgen.

Danke für deine Hilfe!

Wegen der Datei die vermisst wird im Log...die ich nicht löschen konnte, hast du da eine Ahnung was das ist?