Hallo,

seit vier Tagen habe ich ein massives Problem mit meinem E-Mail Account. Mein Provider ist seit ca. 10 Jahren T-Online und ich habe noch nie auffälligen Spam erhalten. Seit einigen Tagen werde ich allerdings total zugemüllt.

Parallel hierzu dauert der PC-Start mit 9 Min. Anlaufzeit extrem lange. Ich habe schon fast alle Auto-Start Programme deinstalliert. Keine Besserung. Gestern wollte ich dann überprüfen, ob ich alle Windos-Updates habe und die IE - Startseite zeigte about:blank. Auf Grund Eurer Empfehlung bei einem anderen TO habe ich SpSeHjfix112 geladen, mit RegSeeker und ClearProg gesäubert. Ad-Aware hat nichts gefunden.
Jetzt scheint zumindest der IE wieder ok zu sein. Spamerhalt und Ladezeiten sind leider unverändert, wobei ich mir nicht vorstellen kann, dass dies in unmittelbarem Zusammenhang steht.
NOD 32 wirft ellenweise „Zugriff gesperrt“-Meldungen heraus. Wie ich beim googeln festgestellt habe, ist das aber offensichtlich normal. (Hoffe ich zumindest). Aber da ich davon nichts verstehe, frage ich mal hier nach und hoffe, dass Ihr eine Erklärung für mich habt.

Ansonsten nutze ich ausschließlich Firefox und Thunderbird und die Verbindung ins Netz ist unverändert gut. BS ist XP.

Könnt Ihr mit diesen (doch etwas lauen) Aussagen etwas anfangen oder benötigt Ihr noch andere Angaben? Danke schon mal vorab für Eure Unterstützung!

Viele Grüße
Nightwish

@Nightwish

Zitat:

seit vier Tagen habe ich ein massives Problem mit meinem E-Mail Account....Seit einigen Tagen werde ich allerdings total zugemüllt

.
Das ist nicht Dein Problem. Problemen mit Malware haben aber Deine Mail-Respondenten. Übrigens: T-Online bietet auch Spamschutz von Postfächer (nicht kostenlos).

Zitat:

Parallel hierzu dauert der PC-Start mit 9 Min.

Das kann mehrere Ursachen haben, dazwischen auch Hardware-Probleme.

Zitat:

NOD 32 wirft ellenweise „Zugriff gesperrt“-Meldungen heraus.

Für System- oder Passwortgeschützten Dateien das ist ganz normal.
Als erster Schritt würde ich die Neuinstallation von Windows unternehmen.

Hallo,
sorry, dass ich nochmals hier "anklopfe". Ich habe zwischenzeitlich meinen PC formatiert; allerdings war mir schon klar, dass mein Problem des Spam-Erhalts dadurch nicht eliminiert wird.

Bisher hatte ich die zig-mails einfach in den Junk-Ordner verschoben, wenn mir die Absender nicht bekannt waren. Heute habe ich mir aber mal eine angesehen und festgestellt, dass sie gar nicht an meine e-mail Adresse gerichtet war. Habe dann noch andere kontrolliert und in vielen Fällen war das ähnlich. Mein-Name@t-online tauchte nirgendwo auf. Manchmal war der Absender und der Empfänger sogar der selbe.

Ein kostenpflichtiges Programm würde mein kärgliches Studenteneinkommen schon sehr belasten. Gibt es vielleicht noch eine andere Möglichkeit, wie ich diese Sintflut abstellen kann. Meinen Account möchte ich ungerne löschen. Es ist mein realer Name. Vielleicht gibt's ja noch einen Weg, den ich nicht kenne... oder habt Ihr vielleicht noch ein paar Tipps für mich? Das wäre echt super von Euch!

Vielen Dank schonmal
nightwish

edit: sehe gerade, dass das in dem Thread "Überwachung etc." wohl besser aufgehoben wäre. Kann ich es trotzdem hier stehen lassen ? Verschieben kann ich das ja wohl nicht..

@Nightwish

Zitat:

Gibt es vielleicht noch eine andere Möglichkeit, wie ich diese Sintflut abstellen kann.

1. Man kann auch allen Respondenten, die diese E-Mail-Adresse haben, mit der Bitte, den Sicherheitsstand der PCs zu überprüfen, anschreiben. Mir hat es ein Mal geholfen.
2. Ich habe auch eine eMail-Adresse bei T-Online, die ich aber nur im Ernstfall weitergebe. Für Foren, Usenet, Bekanntenkreis & Co. habe ich eine kostenlose Addi bei einem anderen Provider. Und noch dazu - mit 10 Nicks. Wenn einen Nick zugespammt seien sollte, schalte ich ihn aus und wechsle ein Paar Buchstaben. Danach ist die Ruhe für die Zeit, bis jemand, der diese neue Addi im OEAB gespeichert hat, ein neues Würmchen auffängt. Dann geht alles von vorne los.
Der Provider hat auch den kostenlosen Spamschutz von Postfächer. Wenn's Dich interessiert, schicke mir eine PM und ich gebe Dir den Link
3. Spam-Filter bei Thunderbird ist lernfähig

Zitat:

Zitat von Nightwish

Heute habe ich mir aber mal eine angesehen und festgestellt, dass sie gar nicht an meine e-mail Adresse gerichtet war. Habe dann noch andere kontrolliert und in vielen Fällen war das ähnlich. Mein-Name@t-online tauchte nirgendwo auf. Manchmal war der Absender und der Empfänger sogar der selbe.

Das täuscht. Die wirklichen Empfänger werden im sog. SMTP-Envelope mitgeteilt, und in der späteren Mail kann was völlig anderes stehen.

Weiterführendes dazu unter http://www.th-h.de/faq/headerfaq.php

Gruß
Yopie

@ rene-gad

- danke für Dein freundliches Angebot. Melde mich dann bei Dir.
- mir ist absolut nicht klar, wie Thunderbird "ganz normale Absender mit normalen Vor- und Zunamen", wie sie zu 80% der Spam-Nachrichten gehören, als Spam erkennen will. Oder - und das geht jetzt an

@ Yopie

öffnet Thunderbird den "Briefumschlag" und vergleicht ihn mit dem "Briefbogen"?

Danke für den interessanten Link. Was ich hier so alles lernen darf.... Wenn ich alles auch in der Tiefe begreifen würde, wäre es natürlich noch besser

Schade, dass ich Euch nicht auch mal helfen kann, aber an meinen "Ratschlägen und Empfehlungen" in Sachen "Trojaner etc." werdet Ihr wohl nicht unbedingt Interesse haben...

Vielen Dank Euch beiden
nightwish

Zitat:

Zitat von Nightwish

öffnet Thunderbird den "Briefumschlag" und vergleicht ihn mit dem "Briefbogen"?

Ne, der Spamfilter hat mit Envelope, Header, Body erstmal wenig zu tun.
Zur Klarstellung: Thunderbird zeigt normalerweise nur den Brieftext (Body) und einen Teil des Briefkopfs (Header), nämlich dort eingetragene Empfänger- und Absendeadresse und Subject an.
Den gesamten Brief (Header + Body) siehst du durch "STRG-U".

Den Umschlag (Envelope) siehst du gar nicht, der bleibt beim Mailserver (laienhaft ausgedrückt!).

Zum TB-Spamfilter: http://www.thunderbird-mail.de/hilfe...ilter_junk.php

Zitat:

Thunderbird benutzt etwas, dass sich "Bayesischer Filter" nennt. Dieser Algorithmus bewertet E-Mails anhand von Wort-Wahrscheinlichkeiten. Sie müssen dem E-Mail-Client deshalb erstmal beibringen, welche E-Mails Spam sind und welche nicht. Sie können entweder eine E-Mail markieren und dann die Schaltfläche "Junk" benutzen oder Sie klicken mit der rechten Maustaste auf die E-Mail und wählen unter dem Punkt Markieren die Option Als Junk oder Als "Kein Junk". Während Sie dies machen, lernt Thunderbird, welche E-Mails Spam sind. Nach ein paar Wochen sollte der Client in der Lage sein 99% Ihrer Spam-Mails aus dem Posteingang zu entfernen.

Es kommt also auf den Inhalt (=Body) an.

Gruß
Yopie

Hallo,

das hätte ich nicht gedacht, dass ich so schnell hier wieder aufschlage. Es geht immer noch um meinen Spam-Erhalt. Diesmal allerdings um den Inhalt von 2en, welche ich heute bekommen habe.

Die erste war von der Citibank, mit der ich noch niemals etwas zu tun hatte. Dummerweise habe ich im Vorschaufenster in die E-Mail (nicht auf einen speziellen Link) geklickt und kam dann umgehend auf eine Seite, in der ich meine persönlichen Daten, Kontonr. und 10 TAN-Nrn. eingeben sollte. Habe die Seite natürlich sofort geschlossen.

Einige Stunden später erhielt ich dann von Ebay eine Mail aus den USA, in der mich jemand aufforderte, mich mit ihm umgehend in Verbindung zu setzen – er habe das Geld an mich gezahlt und möchte jetzt seine Ware. Seit ewigen Zeiten mache ich aber gar nichts über Ebay. Diese Mail habe ich dann an Ebay weitergeleitet (so steht es auf einer Warnseite).

Meine Frage an Euch ist nun: Kann ich durch das Anklicken der Citibank-Mail eine Tür für einen Trojaner o.ä. geöffnet haben? Ich mache mir natürlich jetzt viele Gedanken, ob mein System denn noch sauber ist.

Lieben Dank nochmals für Eure Hilfe.

nightwish

Zitat:

Zitat von Nightwish

Einige Stunden später erhielt ich dann von Ebay eine Mail aus den USA, in der mich jemand aufforderte, mich mit ihm umgehend in Verbindung zu setzen – er habe das Geld an mich gezahlt und möchte jetzt seine Ware. Seit ewigen Zeiten mache ich aber gar nichts über Ebay. Diese Mail habe ich dann an Ebay weitergeleitet (so steht es auf einer Warnseite).

Irgendwelche verdächtigen Aktivitäten in deinem eBay-Account? Du solltest, wenn noch nicht geschehen, dort das Passwort ändern (nur, wenn dein Rechner sauber ist, sonst ists eh egal) bzw. den Account von eBay schließen lassen. Im eBay-Sicherheitsforum gibts Hinweise dazu.
http://forums.ebay.de/forum.jspa?forumID=40 Evtl. ist dein Account gehackt.

Zitat:

Meine Frage an Euch ist nun: Kann ich durch das Anklicken der Citibank-Mail eine Tür für einen Trojaner o.ä. geöffnet haben? Ich mache mir natürlich jetzt viele Gedanken, ob mein System denn noch sauber ist.

Grundsätzlich kann sich durch Anklicken eines Links kein Trojaner installieren. Es sei denn, man benutzt einen unsicheren oder unsicher konfigurierten Browser.

Poste mal ein Hijackthis-Logfile, Anleitung in der Signatur beachten!

Gruß
Yopie

Hallo Yopie,

vielen Dank, dass Du mir so schnell geantwortet hast.
Hier nun das Log; ich hoffe, ich habe alles richtig gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 18:43:11, on 28.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fernuni-hagen.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148188528703
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148188518984
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Danke

Hallo Nightwish,

dein Log ist m.E. nach Super sauber! Wenn du trotzdem nochmal auf Nummer sicher gehen willst, mach einen eScan (vorher updaten) dann im abgesicherten Modus starten...
Anleitunf ist in meiner Signatur verlinkt!

Gruß
Daniel

Hallo nochmals,

hie ist nun mein EScan-Log:

8 21:19:04 2006 => ***** Scanning complete. *****

Sun May 28 21:19:04 2006 => Total Objects Scanned: 75737
Sun May 28 21:19:04 2006 => Total Critical Objects: 8
Sun May 28 21:19:04 2006 => Total Disinfected Objects: 0
Sun May 28 21:19:04 2006 => Total Objects Renamed: 0
Sun May 28 21:19:04 2006 => Total Deleted Objects: 0
Sun May 28 21:19:04 2006 => Total Errors: 7
Sun May 28 21:19:04 2006 => Time Elapsed: 01:26:29
Sun May 28 21:19:04 2006 => Virus Database Date: 5/24/2006
Sun May 28 21:19:04 2006 => Virus Database Count: 195989

Sun May 28 21:19:04 2006 => Scan Completed.


Diese nachfolgenden Logangaben habe ich mal aus dem Log kopiert, da ich mich schon wundere, wieso er mir sie nicht in der Endauswertung anzeigt. Wahrscheinlich bedeutet das ja nichts, aber wenn doch.....?

Hallo nochmals,

hier ist nun mein EScan-Log:

8 21:19:04 2006 => ***** Scanning complete. *****

Sun May 28 21:19:04 2006 => Total Objects Scanned: 75737
Sun May 28 21:19:04 2006 => Total Critical Objects: 8
Sun May 28 21:19:04 2006 => Total Disinfected Objects: 0
Sun May 28 21:19:04 2006 => Total Objects Renamed: 0
Sun May 28 21:19:04 2006 => Total Deleted Objects: 0
Sun May 28 21:19:04 2006 => Total Errors: 7
Sun May 28 21:19:04 2006 => Time Elapsed: 01:26:29
Sun May 28 21:19:04 2006 => Virus Database Date: 5/24/2006
Sun May 28 21:19:04 2006 => Virus Database Count: 195989

Sun May 28 21:19:04 2006 => Scan Completed.


Diese nachfolgenden Logangaben habe ich mal aus dem Log kopiert, da ich mich schon wundere, wieso er mir sie nicht in der Endauswertung anzeigt. Wahrscheinlich bedeutet das ja nichts, aber wenn doch.....?

8 19:54:39 2006 => File C:\Dokumente und Einstellungen\Computer\Anwendungsdaten\Thunderbird\Profiles\hwzqab56.default\Mail\popmail.t-online.de\Inbox infected by "Trojan-Spy.HTML.Bankfraud.ok" Virus! Action Taken: No Action Taken.

Sun May 28 19:54:39 2006 => Scanning File C:\Dokumente und Einstellungen\Computer\Anwendungsdaten\Thunderbird\Profiles\hwzqab56.default\Mail\popmail.t-online.de\Inbox.msf

Sun May 28 19:54:39 2006 => Scanning File C:\Dokumente und Einstellungen\Computer\Anwendungsdaten\Thunderbird\Profiles\hwzqab56.default\Mail\popmail.t-online.de\Junk

Sun May 28 19:54:39 2006 => File C:\Dokumente und Einstellungen\Computer\Anwendungsdaten\Thunderbird\Profiles\hwzqab56.default\Mail\popmail.t-online.de\Junk infected by "Trojan-Spy.HTML.Bankfraud.ok" Virus! Action Taken: No Action Taken.


Mein Ebay-PW habe ich geändert. Es ist nichts mit dem Konto gemacht worden.

Und wenn Ihr mir jetzt noch sagt, dass alles in Ordnung ist, bin ich wieder happy und verschiebe weiterhin diese elenden Spams in den Junk-Ordner.

Viele Grüße
nightwish

Lösch auf keinen Fall die beanstandeten Dateien aus dem Thunderbirdprofil! Wenn Du das machst, sind alle E-Mails weg!
Öffne Thunderbird und wähle über Datei die Option "Alle Ordner dieses Kontos komprimieren". Damit werden Altlasten wirklich entfernt, denn aus Performancegründen werden beim Löschen von E-Mails die Nachrichten nicht wirklich gelöscht sondern nur "ausgeblendet".

Hier weitere Infos (Mailwurm FAQ von Markus Klaffke)

Hallo,

es ist mir total unangenehm schon wieder zu fragen, aber irgendwie bekomme ich das Löschen / Dateien komprimieren bei Thunderbird nicht hin.

Nod 32 gab mir heute folgende Meldung,
Variante von Win32/SpyAgent.EO. Trojaner

Ich habe die Mail in den Quarantäne-Ordner verschoben.

Wenn ich – wie von Cosinus verlinkt – den Thunderbird Ordner mit „Datei komprimieren“ anklicke, passiert aber gar nichts. Alle Mails sind noch da, wo sie vorher waren. Habe ich etwas nicht beachtet?