mein Rechner versendet fremde Mails! !

[Karlsson]

Seit / am Samstag versendet einer meiner Rechner "fremde" Mails mit links zu irgend welchen seiten .. ich habe es zufällig mit bekommen da er auch eine an meine andere mailadresse versendet hat und etliche uralte Adressen zurück gekommen sind.. nun habe ich einige Virenscanner darüber laufen lassen und es wurde von keinem Programm irgend was gefunden !!

wie bekomme ich den Mist weg ??

[ro-jog-rr]

Ich würde vielleicht als erstes das Passwort mal ändern.
LG Robert

[Karlsson]

habe ich als erstes getan ..

ok.. könnte also ja auch sein das "nur" mein Passwort geklaut wurde und keine Software auf dem Rechner ist ..

Zitat:

Zitat von ro-jog-rr

Ich würde vielleicht als erstes das Passwort mal ändern.
LG Robert

[schnipsy]

Lass mal dieses Programm auf Deinem Rechner laufen

Gruß Maik

[Thomas I.]

Moin....

Passwort ändern etc. wird nichts bringen

Wenn Du Dir wirklich einen MailBot eingefangen hast, dann ist es sehr wahrscheinlich, dass er sich als RootKit ziemlich tief im System verankert hat
Dafür spricht z. B., dass Deine Virenscanner nichts gefunden haben.

Ein RootKit los zu werden ist beliebig aufwändig. In vielen Fällen kann es sinnvoller (weil schneller) sein, das System neu aufzusetzen.

HIER ist ein schöner Artikel dazu - gleich mit vielen Links zu brauchbaren Tools.

Viel Erfolg wünscht
Thomas

[Freibeuter]

Ich habe auch eine eMail von dir bekommen - .... was ist los Schatz, bin ich dir zu fett?

Wahrscheinlich wurde dein Rechner zum Bot-Killer entführt.
"Spybot: Search and Destroy", heißt -glaube ich- der Freewarescanner für solche Fälle. Habe aber bekannter Weise, nicht viel Ahnung von der Materie.


Daher meine Frage: Sind meine Rechner nun auch krank, habe ich mich angesteckt?

[brmpfl]

Zitat:

Zitat von ro-jog-rr

Ich würde vielleicht als erstes das Passwort mal ändern.
LG Robert

Füße waschen .... hilft auch nicht.


Hajo

P.S.: Wichtige Daten sichern, Rechner neu aufsetzen.

[Superpapa]

Zitat:

Zitat von Freibeuter

...Daher meine Frage: Sind meine Rechner nun auch krank, habe ich mich angesteckt?

Es kommt darauf an.
Falls Du mit Linux unterwegs bist - keinesfalls.
Bei aktuell gepatchten Windows mit aktuellem Virensucher: solange nichts angeklickt oder geöffnet(z.B. html-Mails) wird: eher nicht...
Wenn da ein Anhang angeklickt wurde und der Virensucher nicht aufschrie: eher angesteckt...
Unter laufendem Windows irgendwelche Virenaktionen durchzuführen, klappt eher selten. Obwohl ich mit stinger auch schon mal nen PC halbwegs sauber bekommen habe, ist das Risiko unkalkulierbar. Diese Fieslinge können sich sonstwo verstecken und irgendwann wieder aktiv werden.
Mit einer separaten Antivirus-CD oder -USB-Stick booten, damit komplett abchecken ist sinnvoll. Bei Befall neu aufsetzen mit Partitionen löschen und so weiter hilft 100%ig und nicht nur einfach drüberinstallieren.
Gruß
Michael

[Freibeuter]

Ich greife mit iOS, Linux und WIN7 auf Outlook zu. Geöffnet habe ich die Mail mit iOS (und gelöscht) -dann kann doch nichts passieren, oder?

[apiroma]

Aller Scan bringt nix, wenn Du Dir ein Rootkit wie TLD 4 eingefangen hast.
Der Mist bootet als erstes nach dem Einschalten und fährt danach das System hoch. Jedes Betriebssystem und jeder Scanner bekommt anschließend falsche Infos.

Guck mal nach, welche partitionen Du auf der Platte hast (hoffentlich weißt Du die genaue Anzahl und Größe, ich notiere das immer beim Einrichten und hinterlege nach Installationsabschluß eine entspr. Recovery-CD im Gehäuse). Im Fall TLD 4 und Weiteren wird eine kleine verschlüsselte Partition angelegt.
Dazu mußt Du das laufende System durch Stromausfall "einfrieren", die Platte danach extern untersuchen.

[Superpapa]

Also beim Booten mit einem externen Medium soll sich der TLD4 verstecken können?
Laut dieser Aussage:

Zitat:

Ebenso wie Sinowal ist auch TDL-4 ein Bootkit. Der Schädling infiziert für seinen Autostart also den MBR, was das Laden des Schadcodes noch vor dem Start des Betriebssystems ermöglicht. Diese Funktionsmethode klassischer Bootviren bietet diesen Programmen eine ungewöhnliche Zählebigkeit und macht sie für die meisten Schutzprogramme unsichtbar.

sollte ein externes Booten den Master-Boot-Record der Festplatte unangetastet lassen - damit ist ein Verstecken und Vorgaukeln falscher Tatsachen erstmal nicht möglich.
Das ein Scan innerhalb des laufenden BS keine Aussagekraft hat, ist unbestritten.
Gruß
Michael

[Karlsson]

habe nun einige Scannprogramme .. ( Danke für die etlichen Tips) laufen lassen und es wurde auch was gefunden .. hoffe das es nun ruhig ist .. weitere Mails wurden erst mal nicht versendet ..

[apiroma]

Zitat:

Zitat von Superpapa

Also beim Booten mit einem externen Medium soll sich der TLD4 verstecken können?
Laut dieser Aussage:sollte ein externes Booten den Master-Boot-Record der Festplatte unangetastet lassen - damit ist ein Verstecken und Vorgaukeln falscher Tatsachen erstmal nicht möglich.
Das ein Scan innerhalb des laufenden BS keine Aussagekraft hat, ist unbestritten.
Gruß
Michael

externes System nutzen um die Platte zu prüfen.
D.h. Platte wird an ein externes System zwecks Forensik angeschlossen.
Es wird ja nicht im BIOS gespielt, sondern der MBR auf der Platte umgebogen (deswegen die Erstellung der verschlüsselten Partition).

@Karlsson

Was war es?? laufende Prozesse oder ein Bootloader (der zieht die Schadfunktion aus dem netz nach um Systemstarts zu überleben und "harmlos" zu wirken). Suche auch nach unüblichen laufzeitpackern.
Diese Dateien (also kein ZIP oder Ähnliche) sind meist mit ein Problem!!!

[Superpapa]

Hi Karsten,
wenn der Virenscanner unter Windows schon was gefunden hat, dann starte bitte einen kompletten Virenscheck von einem externen Medium.
Dazu lädst Du Dir z.B. die Avira-Rescue-CD runter, brennst diese ISO-Datei als startfähige CD, stellst notfalls im BIOS als 1. Bootmedium das CD-Laufwerk ein, bootest von dieser CD (ist ein Linux-Betriebssystem-Ubuntu), stellst die Netzwerkverbindung her(vor allem bei WLAN wichtig, LAN sollte er automatisch erkennen - wegen Signaturupdates) und prüfst das gesamte Laufwerk C.
Falls Du keine CD hast, dafür wenigstens 1 GB-USB-Stick und der Rechner schon von USB booten kann, hilft Dir das Programm Unetbootin, das einen USB-Stick startfähig macht und damit dann gleich die o.g. ISO-Datei startfähig raufpackt.
Wenn dann alles sauber ist, kannste gewonnen haben.
Wenn Du weniger Alarme haben willst, leere vorher die Spamordner und Papierkorb im Mailprogramm, da ist viel Mist drinne.
Gruß
Michael

[Seestern]

Ähem ...

habt Ihr schonmal in Betracht gezogen, dass das gar nichts mit dem Rechner zu tun hat? Mit einer fremden E-Mail-Adresse als Absender Post zu verschicken, ist eine der leichtesten Übungen und natürlich Standard bei allen Spammern, weil der geneigte Spam-Empfänger einer Absender-E-Mail-Adresse "angela.merkel@gmx.de" mehr vertraut als "penisenlargement@spam.ru", oder?

Bei mir laufen auch schubweise manchmal 50, 60 E-Mails am Tag auf, die angeblich von mir verschickt wurden und dann (wg. veralteter E-Mail-Adressen oder Auto-Respondern) zurückkommen. Das hat mit meiner lokalen Infrastruktur mal gerade gar nichts zu tun.

Wenn ein Spammer ein E-Mail-Konto eines Deiner Bekannten, der Deine E-Mail-Adresse in seinem Adressbuch hat, geknackt hat, hat er Deine E-Mail-Adresse und damit einen weiteren Eintrag in seiner Absenderliste.

Also mal nicht verrückt machen. Einen gründlichen Check zu machen, schadet nie, aber gleich das System plattzumachen, erscheint mir ein bisschen überreagiert.

Doof wirds allerdings, wenn Du die E-Mails auch im Postausgang in Deinem Outlook findest ...

[45meilen]

War doch gerade als div. GMX Konten geknackt wurden