mac OSX <keineantwortadresse@web.de> Spammailhallo zusammen, seit einigen monaten bekomme ich folgende mails: keineantwortadresse@web.de B
 

hallo zusammen,

seit einigen monaten bekomme ich folgende mails:
keineantwortadresse@web.de
Betreff: Mail delivery failed: returning message to sender

BSP: (HINWEIS: meinen Namen habe ich in meinen beiden email-adressen durch XY ersetzt)
.................................
Von: keineantwortadresse@web.de
Betreff: Mail delivery failed: returning message to sender
Datum: 19. Juni 2014 03:33:36 MESZ
An: XY <XY@web.de>
Return-Path: <>
Delivered-To: mail@XY.com
Received: (qmail 24851 invoked by uid 89); 19 Jun 2014 01:33:37 -0000
Received: from mout-xforward.web.de (82.165.159.4) by mail9.netbeat.de with SMTP; 19 Jun 2014 01:33:37 -0000
Received: from [213.165.67.120] ([213.165.67.120]) by mx-ha.web.de (mxweb103) with ESMTPS (Nemesis) id 0M0g4I-1WimfH0KhK-00uqzl for <mail@XY.com>; Thu, 19 Jun 2014 03:33:37 +0200
Received: from mout-bounce.web.de ([212.227.17.18]) by mx-ha.web.de (mxweb103) with ESMTPS (Nemesis) id 0LkeaW-1WPTOP0Doq-00aRX5 for <XY@web.de>; Thu, 19 Jun 2014 03:33:37 +0200
Received: from mda by moweb003.server.lan id 0MRypO-1X7una3mRu-00TG4f Thu, 19 Jun 2014 03:33:36 +0200
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
.................................
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error. The following address
failed:

"mail@XY.com":
SMTP error from remote server after RCPT command:
host: mail9.netbeat.de
hxxp://www.spamhaus.org/sbl/query/SBL175030


--- The header of the original message is following. ---

Received: from [213.165.67.104] ([213.165.67.104]) by mx-ha.web.de (mxweb001)
with ESMTP (Nemesis) id 0LsSHw-1WZOzg0dDc-0122cN for
<mail@XY.com>; Thu, 19 Jun 2014 03:33:36 +0200
Received: from it.dbindirizzi.com ([213.227.244.92]) by mx-ha.web.de
(mxweb001) with ESMTP (Nemesis) id 0MfWPr-1XLPCN0QrT-00P7Ee for
<XY@web.de>; Thu, 19 Jun 2014 03:33:36 +0200
To: XY@web.de
From: "Kontakt" <info@it.dbindirizzi.com>
Subject: Kontakt
Date: Thu, 19 Jun 2014 04:33:43 +0300
Message-ID: <20140619_013343_040118.info@it.dbindirizzi.com>
X-Mailer: Webmail
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="utf-8"
Mime-Version: 1.0
.................................

nach einiger zeit habe ich dann alle passwörter geändert (bei netbeat und web.de),
netbeat und web.de kontaktiert, ClamXav scannen lassen:
----------- SCAN SUMMARY -----------
Known viruses: 3310408
Engine version: 0.98.1
Scanned directories: 139109
Scanned files: 455255
Infected files: 0
Total errors: 561
Data scanned: 30016.07 MB
Data read: 106462.54 MB (ratio 0.28:1)
Time: 5258.505 sec (87 m 38 s)

alles ohne erfolg!

diese woche habe ich dann von "mir selbst" post bekommen:
(HINWEIS: meinen Namen habe ich in meinen beiden email-adressen durch XY ersetzt)
.................................
Von: XY XY@web.de>
Betreff: Bleiben Sie zu Hause und verdienen das Geld!
Datum: 27. Juni 2014 17:48:12 MESZ
An: XY <XY@web.de>
Return-Path: <XY@web.de>
Delivered-To: mail@XY.com
Received: (qmail 7785 invoked by uid 89); 27 Jun 2014 19:48:21 -0000
Received: from mout-xforward.web.de (82.165.159.4) by mail9.netbeat.de with SMTP; 27 Jun 2014 19:48:21 -0000
Received: from [213.165.67.104] ([213.165.67.104]) by mx-ha.web.de (mxweb005) with ESMTP (Nemesis) id 0LhPv6-1WMvju0Cpc-00mbNc for <mail@XY.com>; Fri, 27 Jun 2014 21:48:18 +0200
Received: from mail1.custodium.com ([190.196.69.194]) by mx-ha.web.de (mxweb005) with ESMTP (Nemesis) id 0Lu6ys-1WZUo805O2-011Uny for <XY@web.de>; Fri, 27 Jun 2014 21:48:18 +0200
Message-Id: <53AD923C.9060406@web.de>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.17) Gecko/20110414 Thunderbird/3.1.10
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="------------070506070203040309090909"
.................................
Wir begrüssen Sie und möchten ihnen die Zusammenarbeit mit unserem Team anzubieten und erzählen über unsere Arbeitsbedingungen.
Erstens sollen Sie keine Beitrage einrichten um bei uns zu arbeiten.
Das ist eine gute Gelegenheit für die Rentner, Frauen im Schwangerschaftsurlaub,
oder für diejenigen, die von den Stressen, der Hektik und der Konkurrenz loskommen möchten,
oder für diejenigen, die eine Möglichkeit suchen, Teilzeit zu arbeiten und zusätzliches Geld zu verdienen.
Sie können ihre Arbeitszeit von 2 bis 8 Uhr variieren.
Ihr Gehalt beträgt 3000 Euro und Bonus.( Es hängt von den Arbeitsstunden ab)
Wir arbeiten von Montag bis Freitag von 09.00 Uhr bis 18.00 Uhr.
Für weitere Information schreiben Sie bitte uns per E-MAil: Gotthold@jobscout24de.com
.................................

"defogger", "gmer-19357", "FRST" und "FRST64" habe ich heruntergeladen.
doch dann heißt es: "this program cannot be run in DOS mode"
vielleicht mache ich etwas falsch. ich kenne mich leider gar nicht aus und brauche daher hilfe, denn ich finde das alles total unheimlich.

liebe grüße,
JuleXY
ps: "little snitch" läuft seit jeher auf meinem rechner

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

hallo schrauber,
vielen dank für die schnelle antwort!

leider heißt es bei beiden FRST versionen immer:
MZêˇˇ∏@
∫¥ Õ!∏
LÕ!This program cannot be run in DOS mode.

was mache ich falsch?

Scheisse, sehe ich ja jetzt erst, bei einem MAC laufen keine unserer Tools, aber da läuft auch keine Malware :)

doch woher kommen dann diese mails? <keineantwortadresse@web.de>...

... könnte es daran liegen, dass ich eine "virtual box" installiert habe, auf der windows XP läuft?
dieses "2. betriebssystem", das ich letztes jahr brauchte um mit einem speziellen drucker zu arbeiten, hatte ich ganz vergessen?

falls ja, was sollte ich mir der "virtual box" machen?

Emails Accounts werden meist online gehackt, ohne Malware auf dem Rechner. Passwort ändern zum Account.

Lass FRST mal in der XP VM laufen und poste die Logs.

Hallo Schrauber,

dh ich muss "nur" die Passwörter bei Web.de und Netbeat ändern, richtig?
Und: am besten von einem anderen Rechner, richtig?

Amazon, ebay und Co sind davon nicht betroffen?

Jetzt schon einmal VIELEN DANK!

Geht ja nur um Spam, also reicht das PW des Email Accounts.

Logs bitte immer in den Thread posten. Zur Not aufteilen und mehrere Posts nutzen.
Ich kann auf Arbeit keine Anhänge öffnen, danke.

sorry, das war mir nicht klar!

NR1:

FRST Logfile:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---

--- --- ---


NR 2:

sieht gut aus :)

hallo schrauber,
dann sind MAC und VirtualBox (WindowsXP) also sauber!
:)

vielen lieben dank!


leider bekomme ich -trotz passwortänderug von anderem mac- weiterhin diese mails.
so zb diese (von heute):
.......................................................
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error. The following address
failed:

"mail@XY.com":
SMTP error from remote server after RCPT command:
host: mail9.netbeat.de
hxxp://www.spamhaus.org/sbl/query/SBL175030


--- The header of the original message is following. ---

Received: from [213.165.67.104] ([213.165.67.104]) by mx-ha.web.de (mxweb005)
with ESMTPS (Nemesis) id 0M6Suh-1WgSlL3fop-00yQNg for
<mail@XY.com>; Fri, 11 Jul 2014 05:27:41 +0200
Received: from server.seligapublicidade.com.br ([64.37.60.106]) by
mx-ha.web.de (mxweb005) with ESMTPS (Nemesis) id 0M39WR-1WlzbP3aLv-00stXk for
<XY@web.de>; Fri, 11 Jul 2014 05:27:40 +0200
Received: from [5.133.59.134] (port=39911 helo=serralheriajovem.com.br)
by server.seligapublicidade.com.br with esmtpa (Exim 4.80.1)
(envelope-from <mail@serralheriajovem.com.br>)
id 1X5RUp-0007hG-4g
for XY@web.de; Fri, 11 Jul 2014 00:27:39 -0300
Date: Fri, 11 Jul 2014 03:27:35 +0000
To: XY@web.de
From: =?utf-8?B?a29udG9AcNCw0YPPgWFsLmTQtQ==?= <mail@serralheriajovem.com.br>
Subject: =?UTF-8?B?QWt0ddCwbNGW0ZXRlmVydW5nIGRlcyBLzr9udM6/0ZV0YXR1cy4gQW50d86/0LN0INC10LNmb3JkZXJsaWNo?=
Message-ID: <8ff2e0b7058fb31f04907d8469939932@serralheriajovem.com.br>
X-Priority: 3
User-Agent: Microsoft Windows Live Mail 16.4.3522.110
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_8ff2e0b7058fb31f04907d8469939932"
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server.seligapublicidade.com.br
X-AntiAbuse: Original Domain - web.de
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - serralheriajovem.com.br
X-Get-Message-Sender-Via: server.seligapublicidade.com.br: authenticated_id: mail@serralheriajovem.com.br
X-Source:
X-Source-Args:
X-Source-Dir:
.......................................................

sollte ich am besten die adresse bei web.de löschen und mir eine neue suchen?
ich bin total ratlos und mega genervt von diesen blöden mails!

LG, JuleXY

web.de und yahoo haben im moment echt Probleme mit sowas.

Lieber Schrauber!

VIELEN LIEBEN DANK für alle die HILFE!!!

ich war ein paar tage verreist und sitze erst seit eben wieder am rechner...
web.de habe ich jetzt "fast" stillgelegt.

herzliche grüße,
JuleXY

ok :)