Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] Windows Live Mail: kein Schutz gegen Account-hacking ?

B

BobMarleyDE

Gast
Hallo zusammen.

Gestern musste ich feststellen, daß mein WindowsLiveMail (WLM)-Account offenbar gehackt wurde. Erst fielen mir "Rückläufer" auf (Meldungen über nicht zugestellte eMails) von eMails die ich nicht versandt hatte, dann kamen auch Rückfragen von Freunden, die wissen wollte, warum ich da so ominöse Links verschicken würde... (selbige führten zu english-sprachigen Internetseiten die von WOT - welch Wunder ! - auch prompt als Betrügerseiten interpretiert wurden)
Da war natürlich Alarmstufe Rot auf der Brücke...
Mein Verdacht war natürlich sofort, das der Account gehackt wurde. Und der liegt ja eigentlich auf den Microsoft-Servern.
Dennoch habe ich natürlich auch stande pede meinen PC gescheckt.
Göttinseidank melden weder Kaspersky (Vollversion von 2012) noch der OnlineScanner von TrendMicro irgendwelche Übeltäter.
Apropos TrenMicro: Ich find zwar nichts auffälliges im HiJack-Protokoll,
aber wenn die alten Hasen hier mal ein Blick drauf werfen würden, wäre das nett:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:18:14, on 14.04.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
E:\Windows\system32\Dwm.exe
E:\Windows\system32\taskhost.exe
E:\Windows\Explorer.EXE
E:\Program Files\Common Files\Java\Java Update\jusched.exe
E:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe
E:\Program Files\Windows Sidebar\sidebar.exe
E:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe
E:\Windows\system32\taskhost.exe
E:\Users\BobMarleyDE\Desktop\HiJackThis204.exe
E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2012\ievkbd.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Program Files\Java\jre7\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2012\klwtbbho.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - E:\Program Files\Copernic Desktop Search 2\DesktopSearchBand203000018.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [RTHDVCPL] E:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe"
O4 - HKCU\..\Run: [Sidebar] E:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "E:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] E:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2012\ievkbd.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2012\klwtbbho.dll
O10 - Unknown file in Winsock LSP: e:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: e:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - E:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - E:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2012\avp.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - Firebird Project - E:\Program Files\Firebird\Firebird_2_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - E:\Program Files\Firebird\Firebird_2_5\bin\fbserver.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - E:\Windows\system32\nvvsvc.exe

--
End of file - 5200 bytes

>> Um eventuellen Rückfragen vorzubeugen: Die Firebird-Datenbank ist integraler Bestandteil des SAM-Broadcasters, gehört also dahin. <<

Für die Interessierten User: Folgende Schritte hab ich unternommen -->

- das kompromittierte Konto komplett gelöscht.
D.h. manuell alle gespeicherten eMails und das Adressbuch gelöscht
(selbiges vorher natürlich exportiert) dann den Account ansich bei
Microsoft, sprich WLM, gelöscht.
- eigenes eMail-Programm komplett entfernt, mit der selben Vorgehensweise
wie bei WLM. Das war zwar vermutlich unnötig, aber weiß... :unsure:s

- neues Konto(Account) eingerichtet mit geänderten Namen, PW und ID-No.

- PC gründlich gescannt und HiJackThis obendrein drüber laufen lassen (siehe Bilder und obiges Protokoll)

Nun zu meiner Frage: Kann man selber was dagegen tun, das ein eMail-Account gehackt wird - außer ein möglichst sicheres PW anzulegen -
oder muss ich mich da voll und ganz auf Microsoft verlassen ?
 

Anhänge

  • I.PNG
    I.PNG
    14,9 KB · Aufrufe: 257
  • II.PNG
    II.PNG
    91,9 KB · Aufrufe: 253
Zuletzt bearbeitet:
Anzeige
AW: Windows Live Mail: kein Schutz gegen Account-hacking ?

Ich denke, Du hast alles richtig gemacht! Mehr als ein "sicheres" Passwort wählen kann man nicht; alles andere hängt am Dienste-Anbieter....
 
AW: Windows Live Mail: kein Schutz gegen Account-hacking ?

Ob der Account tatsächlich gehackt worden ist, glaube ich zunächst nicht.
Außer, der PC hatte vor kurzem einen Infekt.
Aber eher denke ich, daß deine Email-Adresse auf einem infizierten PC
in der EMail- Kontakt-Liste steht und dadurch jetzt missbraucht wird. Das ist Spoofing.
Wäre dein Konto gehackt worden, hättest du ziemlich sicher keinen Zugriff mehr darauf.
Hast du dir die Header der Spam-Mails einmal angeschaut?
Hier stehen die realen Absenderdaten drin.
Auch lohnt es sich immer, den Provider darüber zu informieren.

Der Logfile ist für mich OK aus. ;)
 
AW: Windows Live Mail: kein Schutz gegen Account-hacking ?

Danke erstmal an Euch beide :)

by Franz:
... Aber eher denke ich, daß deine Email-Adresse auf einem infizierten PC
in der EMail- Kontakt-Liste steht und dadurch jetzt missbraucht wird. Das ist Spoofing....
Zum Vergrößern anklicken....

Na, das ist ja mal toll. Das heißt also, wenn meine eMail-Adresse auf einem PC eines anderen Nutzers gespeichert ist, liegt da dann auch noch eine Gefahrenquelle... *Haare rauf :frust :willaber
Und es gibt viele die nur eine FreeVersion eines AV-Schutzes nutzen. :eek::suizid:
Tja, da ist man machtlos.:(
Aber danke für die Info, Franz. DAS wusste ich auch noch nicht.
(Obwohl es eigentlich logisch ist, wenn man drüber nachdenkt. *schäm)

Was mir ebenfalls neu ist (war), ist die erweiterte Ansicht des Headers.
Dank Deines Hinweises hab ich mich mal schlau gemacht, wie das bei meinem
eMail-Programm funktioniert. Ich dachte wirklich da steht halt nur Absender, Adressat und Datum drin. Das Problem ist nun, wie kann ich in Zukunft über die erweiterte Ansicht des Headers künftig einen Schlimmling identifizieren ?

Ich hab mal - die besagten eMails mit den üblen Links sind ja längst gelöscht -
bewusst einen Rückläufer verursacht, in dem ich eine alte, nicht mehr existente eMail-Adresse von mir angeschrieben habe. Meisten kommen die ja dann von MailerDaemon oder Postmaster, wie in diesem Fall.
Siehe beide Bilder, musste da leider scrollen.
Wo kann man da zur Identifizierung ansetzen ?
Ich versteh da ehrlich gesagt nur Bummelzug und Koffer klauen... :unsure:s :unsure:

Für die interessierten Mitleser, den Header komplett auszulesen funktioniert bei jedem eMail-Programm anders. Hier eine -leider kurze - Übersicht:

Was ist ein E-Mail-Header und wie kann ich mir alle darin enthaltenen Daten in meinem E-Mail-Programm anzeigen lassen?

Zu aol.com oder aol.de-Adressen konnte ich leider nichts finden, sorry :(
 

Anhänge

  • A.PNG
    A.PNG
    151,2 KB · Aufrufe: 249
  • B.PNG
    B.PNG
    122,3 KB · Aufrufe: 236
Zuletzt bearbeitet:
AW: Windows Live Mail: kein Schutz gegen Account-hacking ?

Hast du denn eine Möglichkeit auf den Link hinter der Nachrichten-ID zuzugreifen?(Im 1. Screen)
 
AW: Windows Live Mail: kein Schutz gegen Account-hacking ?

Nein,Jonn. Da kommt dann eine Fehlermeldung im Browser: "Server nicht gefunden"
 
AW: Windows Live Mail: kein Schutz gegen Account-hacking ?

So genau braucht man den Header doch eigentlich gar nicht auslesen.
Dafür bekommen IT-Sicherheitsleute bei den Mail-Providern gutes Geld.
Leite den Header an den Provider weiter, im obg. Fall wäre es hotmail.de und live.de,
falls die beiden Server-Adressen auch in den gespooften Mails auftauchen sollten.
Nur die können tatsächlich den eigentlichen Sende-Server, bzw. Sende- IP-Adresse ausfindig machen.
Im Header wäre übrigens auch noch Platz für den X-IP-tag (X-Originating-IP), der eben die genaue
IP-Adresse ausgeben kann, allerdings verzichten die meisten Mail-Provider auf diesen tag.

Im Internet gibt es auch zahlreiche Mail-Analyzer und -Erklärbär-Sites, hier 2 als Beispiele:
antispam-ev.de- EMailHeader
E-Mail Header Analyzer
 
AW: Windows Live Mail: kein Schutz gegen Account-hacking ?

Interessante Links, Franz. Danke :) (y)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben