Returned mailtjes, Welk virus?

[Chris de Boden]

Sinds een dag of 3 krijg ik in mijn planet mailbox dagelijks enkele tientallen tot wel 100a200 returned e-mailtjes van e-mail wat ik helemaal niet verzonden heb.
Kijk ik in de bron van een dergelijk bericht zie ik dat het een spam-mailtje is wat niet door mij is verzonden, het is zelfs niet vanaf mijn ip verzonden, maar bij returned patch staat wel mijn e-mail adres.

Ik krijg dit alleen binnen via mijn planet adres, de andere 2 accounts werken normaal.
Op het planet adres staat het spamfilter ingesteld en ook het antivirus filter is actief.
Als lokale spamfilter gebruik ik k9.

Uiteraard ga ik er direct van uit dat er een virus op mijn systeem actief is(direct het eerste waar ik van uit gaat ivm online-banking), maar diverse scans met zowel diverse online scanners als een legale norton 2008 kunnen geen besmettingen ontdekken. Ook de spyware scanners: adaware2007, spybot s&d 1.5.2, XoftSpySE laten op wat trackingcookies na geen verdachte zaken zien.

Het systeem werkt verder gewoon vlot en laat geen gekke processen zien en ook het CPU gebruik is volstrekt normaal(ruim onder de 20%, gemiddeld 2a3%, maar dat lijkt mij volstrekt normaal).
De internet verbinding laat verders ook geen vertragingen zien, ik heb geen gekke fratsen in Explorer, geen reclame pop-ups enzo.

Verder heb ik ook geen bijzondere dingen ge

[Jan_Kol]

Misschien SPAMfighter eens proberen? Die werkt met een enorme database aan SPAM-kennis. SPAMfighter vind je hier. SPAMfighter werkt kennelijk anders dan K9, dat zich baseert zich - volgend de website - op statistische gegevens. SPAMfighter reageert o.m. op feed-back vanuit de gebruikers; wat jij SPAM vindt, wordt op een gegeven moment bij anderen kennelijk ook als SPAM gezien door SPAMfighter.

Ik heb de betaalde versie maar dat maakt voor de werking in principe niet uit. SPAMfighter "leert" van de gebruikers en dat zijn er inmiddels best veel zoals je kunt zien. Mijn ervaringen met SPAMfighter zijn goed. Bekenden die de gratis versie gebruiken zijn ook zeer tevreden.

Jan

[Chris de Boden]

Bij k9 moet je zelf eerst ook aangeven wat goed en slecht is, uiteindelijk leert het programma vanzelf.
De returned mailtjes komen binnen in mijn rommelmap
Maar het feit dat ik returned mailtjes krijg van mail die ik niet verzonden heb bevalt mij niet.

Ik ga het wel proberen.

[MandersOnline]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:10:47, on 15-3-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.forumparadijs.nl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forumparadijs.nl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://Windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.planet.nl:8080

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_8 -reboot 1

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

Verder kan ik jou vertellen dat er mogelijk een kennis of ergens iemand veel verder weg een virus heeft en toevallig gebruikt dat virus jou mail adres om vanuit die naam te verzenden. Enigste wat je dus kan doen is inderdaad spam filter sterker afstellen en meer dan dat gaat helaas niet...

[Timelord]

Het hoeft helemaal niet van jouw e-mailadres afkomstig te zijn.
Jouw e-mailadres wordt gewoon misbruikt.

Ik heb voor mezelf een snelmailer gemaakt, zodat ik zonder een emailprogramma te hoeven op te starten en van alles in te moeten vullen,
snel mail kan versturen. Meestal naar mezelf (werk of thuis).

Als afzender kan ik elk e-mailadres nemen. Zou ik die van jou weten, kan ik die van jou ook gebruiken.
Zo werken die spambedrijven en dara is helaas niks tegen te doen.

[Chris de Boden]

Dan maak ik een nieuw e-mail adres aan en het oude sluit ik af, het enigste wat ik kan doen om er definitief vanaf te komen.
Ik stel wel een autoreply in met de volgende tekst:

Code: Selecteer alles

Dit e-mail adres is wegens spam buiten bedrijf.
Helaas kan ik ipv spammers in dit automatisch gegenereerde mailtje niet het nieuwe e-mail adres vermelden.
Als je mij wilt bereiken veranderd dan de letter c in het oude e-mail adres in mijn voornaam.
Mvg,
Chris.

Ik baal er goed van, nu moet ik op alle forums mijn e-mail adres wijzigen.

[Chris de Boden]

Verder kan ik jou vertellen dat er mogelijk een kennis of ergens iemand veel verder weg een virus heeft en toevallig gebruikt dat virus jou mail adres om vanuit die naam te verzenden. Enigste wat je dus kan doen is inderdaad spam filter sterker afstellen en meer dan dat gaat helaas niet...

Toch een paar puntjes waar ik het fijne van wilt weten:
*R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forumparadijs.nl/
Apart, dit is idd een van de startpagina's en had ik ooit zelf ingesteld(geen hijacker in dit geval) en was ooit mijn eigen forum, maar waar zijn de andere startpagina's op de andere tabbladen? Dat zijn er 4 totaal met o.a. een site waar jij technisch beheerder van ben

*O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
Ik gebruik acrobat met enige regelmaat, heeft dit geen verdere gevolgen?

*O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_8 -reboot 1
Ik neem aan dat acrobat ook weleens geüpdatet moet worden(ik gebruik de dure en legitieme versie van cs2(ik ben het nu nog aan het afbetalen, ik moest er een lening voor nemen))

*O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
Dit lijkt mij een calibratie programma om de monitor en de printer af te regelen zodat wat er op het scherm komt ook zo op papier uit komt te zien, ik was van plan om dit in de loop van de tijd te gebruiken.

[MandersOnline]

De onderste 3 zijn voor de snelheid van je PC, het vertraagd enkel en de eerste is eentje die er te veel in staat als je goed kijkt heb ik de log de aller eerste entry van weggehaald die mag blijven staan.

[Chris de Boden]

Ik heb het opgeruimd, maar ik merk dat op deze "hoogbejaarde" XP bak *atlhon 64x2 3800, 2 gig ram, hoogtijd voor een nieuwe computer en bij voorkeur een Apple) ik het verschil geeneens merkt.

Oorzaak van mijn probleem is achterhaald waarschijnlijk, namelijk mijn eigen forum welke een smf board 'was', daar zat een lek in en dat is door hackers misbruikt.
Ik heb abrupt het forum zonder pardon verwijderd en phpbb3 ge

[MandersOnline]

Hmmmmm jaaa heb je die SMF niet geüpdatet??

[Chris de Boden]

Idd achterstallig onderhoud

[MandersOnline]

bij phpBB3 al 2 kan je zien dat de versie out of date is, maar je bent wel zelf de gene die er om moet denken, of je zou je eventueel kunnen abonneren op de mailinglist van phpBB.com.

[Chris de Boden]

Had gewoon een tijd niks meer met die site gedaan gezien de bezoekers wegbleven, dus liet ik die site een stille dood genieten.

Inmiddels heb ik mijn plannen gewijzigd.

[MandersOnline]

oke, nou wat betreft phpbb3 is er 2 dagen geleden inmiddels een update uitgebracht, en heb ik gisteren de vertaling afgerond om even na 12 uur