Trojaner-Board - Hunderte "Undeliverable Mail.... " Mails

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hunderte "Undeliverable Mail.... " Mails - Trojaner? (https://www.trojaner-board.de/176037-hunderte-undeliverable-mail-mails-trojaner.html)

Hunderte "Undeliverable Mail.... " Mails - Trojaner?

Guten Morgen,

es handelt sich um den Bürorechner. Seit kurzem landen in unregelmäßigen Abständen immer mal wieder 100-erte (einmal waren es 1000!) Mails "Undeliverable mail returned...." in unserem Posteingang.
Zunächst gingen wir davon aus, dass es sich um "Person X benutzt unsere Mailadresse-Sache" handlet, aber nach einem Telefonat mit unserem Provider teilte dieser uns mit, dass tatsächlich jemand mit einer IP aus England über unsere Mailaccountdaten Spams versendet.
Als erste Maßnahme wurde das Passwort geändert.

Ich bin die einzige, die Zugang zu diesem Rechner hat. Es könnte allerdings sein, dass das alte Passwort bei einem früheren Mitarbeiter noch auf dem Rechner "herumflattert", ohne dass der-/diejenige das überhaupt weiß bzw. das Konto nutzt und dessen Rechner infiziert ist.

Alternative 2 wäre (weitaus schlimmer), dass dieser Rechner infiziert ist, erste Überprüfungen führten aber zum Glück zu einem negativen Ergebnis.

Komplettscan mit Microsoft Essentials: Negativ
Komplettscan mit Malwarebytes - es wurden potentielle, aber nicht aktive Bedrohungen erkannt und auch gelöscht. Soweit ich das erkennen konnte, handelte es sich bei keiner dieser Bedrohungen um einen Trojaner.
Logfile kann ich auf Wunsch gerne posten, auch die Namen der potentiellen Bedrohungen.

Weitere Ideen?

Vielen Dank schon einmal und nicht wundern, wenn ich nicht gleich reagiere, da ich diese Suche immer zwischen meiner sonst noch so anfalennden Arbeit erledigen muss :eek: .

Tut mir leid, ich hab im vorigen Post einen Fehler gemacht und das Logfile von Malwarebytes nicht gepostet, deshalb hole ich dies nun nach, da ich den Ursprungspost nicht mehr editieren kann:

Code:

Malwarebytes Anti-Malware

www.malwarebytes.org
 

Suchlaufdatum: 16.02.2016

Suchlaufzeit: 10:31

Protokolldatei: 

Administrator: Ja
 

Version: 2.2.0.1024

Malware-Datenbank: v2016.02.16.01

Rootkit-Datenbank: v2016.02.08.01

Lizenz: Kostenlose Version

Malware-Schutz: Deaktiviert

Schutz vor bösartigen Websites: Deaktiviert

Selbstschutz: Deaktiviert
 

Betriebssystem: Windows 7 Service Pack 1

CPU: x64

Dateisystem: NTFS

Benutzer: Blumenwiese
 

Suchlauftyp: Bedrohungssuchlauf

Ergebnis: Abgeschlossen

Durchsuchte Objekte: 476717

Abgelaufene Zeit: 13 Min., 21 Sek.
 

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Deaktiviert

Heuristik: Aktiviert

PUP: Aktiviert

PUM: Aktiviert
 

Prozesse: 0

(keine bösartigen Elemente erkannt)
 

Module: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 0

(keine bösartigen Elemente erkannt)
 

Registrierungswerte: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsdaten: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Dateien: 0

(keine bösartigen Elemente erkannt)
 

Physische Sektoren: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

Von Microsoft Security Essentials gibt es leider kein vernünftiges Logfile.

Moin :kaffee:

Um das Passwort zu hacken braucht man idR keinen Zugriff auf deinen Computer. Wir können deinen Rechner aber gerne weiter abklopfen.

Poste mal bitte alle Logs mit Funden.

MSE hat keine Logs in diesem Sinne, es schmeißt seine Events ins Ereignisprotokoll von Windows. Falls MSE denn Funde hatte möchtest du also bitte ins Eventlog (eventvwr.msc) schauen :)

Vielen Dank für die Antwort.
MSE hatte keine Funde, im Eventlog hatte ich schon nachgeschaut. Ich hatte einen kompletten Scan gemacht, nicht nur einen Schnellscan.
Ansonsten hatte ich nur noch Malwarebytes laufen lassen, Ergebnis habe ich oben gepostet.
Malwarebytes hatte zwar 4 potentielle Bedrohungen erkannt, diese aber nicht ins Logfile geschrieben?
Die potentiellen Bedrohungen waren:
pup.optional.installcore.a
pup.optional.winyahoo
pup.optional.somoto
Meiner Erinnerung nach waren alle diese Dateien in Temp-Ordnern und gemäß Recherche handelte es sich "nur" um Adware.
Sowie eine Datei, die unter Downloads gespeichert war.

Im Task-Manager waren keine Auffälligkeiten zu bemerken, auch ansonsten zeigt das System keinerlei Auffälligkeiten.

Eine Frage - Du schreibst, dass man das Passwort ohne Zugriff auf den Computer hacken kann. Das müsste aber dann über den Provider passiert sein? Dieser sagt (verständlicherweise), dass bei ihm alles sicher und die Passwörter verschlüsselt seien. Oder gibt es noch eine weitere Möglichkeit? Es ist kein 1,2,3,4,5,6-Passwort ;).

Vielen Dank schon mal.

PS: Nachdem was ich heute hier so gelesen habe (Erpressung mit verschlüsselten Dateien), habe ich erst einmal alle Daten extern gesichert, und überlege auch einen neuen Virenscanner zu installieren.

Die Provider behaupten viel wenn der Tag lang ist :kaffee:
Es gab aber in der Vergangenheit immer wieder Probleme.

Wie genau dein Passwort in deinem Fall aber nun gehackt wurde kann ich dir nicht sagen

Ok, dankeschön.

Also meinst Du ich muss keine weiteren Scans mehr machen? Das wäre prima :).

Nö eigentlich nicht. Passwort hast ja geändert. Beobachte das mal die Tage und wenn du willst kannst du dich danach hier eh wieder melden

Ok, super, danke vielmals. Dann kann man den Fred wohl schließen ;).

Wollte mir heute Emsisoft installieren, leider gibt es damit Probleme, diese habe ich aber in anderem Board hier gepostet.