<div dir="ltr"><div>Some missing information - her PC runs Windows, and she only accesses gmail through her browser.<br><br></div>Mark<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jan 16, 2017 at 3:23 PM, Mark Phillips <span dir="ltr"><<a href="mailto:mark@phillipsmarketing.biz" target="_blank">mark@phillipsmarketing.biz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div><div><div><div>It looks as if my wife's gmail account was hacked on Jan 9, and I want to see if there is anything else we have to do to clean up the mess. <br><br></div>1. She stopped getting any email on Thursday in this account. We tracked it down to a filter that sent all incoming email to Trash. We deleted the filter.<br><br></div>2. A little more digging, and we found a suspicious login from NY on Jan 9. She swears she was not in NY on that day....and, absent any proof to the contrary, I believe her. ;)<br><br></div>3. There was a Google Brand account attached to her gmail account, which we deleted. No idea what that is.<br><br></div>4. There are several delivery failure emails in her Trash folder like this one:<br>Address not found<br>Your message wasn't delivered because the domain <a href="http://houston.rr.com" target="_blank">houston.rr.com</a> couldn't be found. Check for typos or unnecessary spaces and try again.<br>The response from the remote server was:<br>DNS Error: 10339950 DNS type 'mx' lookup of <a href="http://houston.rr.com" target="_blank">houston.rr.com</a> responded with code NOERROR 10339950 DNS type 'aaaa' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" target="_blank">cdptpa-smtpin01.houston.rr.com</a><wbr>. responded with code NXDOMAIN 10339950 DNS type 'a' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" target="_blank">cdptpa-smtpin01.houston.rr.com</a><wbr>. responded with code NXDOMAIN<br><br><br>Final-Recipient: rfc822; <a href="mailto:jham003@houston.rr.com" target="_blank">jham003@houston.rr.com</a><br>Action: failed<br>Status: 4.0.0<br>Diagnostic-Code: smtp; DNS Error: 10339950 DNS type 'mx' lookup of <a href="http://houston.rr.com" target="_blank">houston.rr.com</a> responded with code NOERROR<br> 10339950 DNS type 'aaaa' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" target="_blank">cdptpa-smtpin01.houston.rr.com</a><wbr>. responded with code NXDOMAIN<br> 10339950 DNS type 'a' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" target="_blank">cdptpa-smtpin01.houston.rr.com</a><wbr>. responded with code NXDOMAIN<br>Last-Attempt-Date: Sat, 14 Jan 2017 14:09:54 -0800 (PST)<br><br><br>---------- Forwarded message ----------<br>From: Steven Walls <<a href="mailto:allison@phillipsoasis.com" target="_blank">allison@phillipsoasis.com</a>><br>To: Steven Walls <<a href="mailto:wallssteven1@adsolutionpro.us" target="_blank">wallssteven1@adsolutionpro.us</a><wbr>><br>Cc: <br>Date: Wed, 11 Jan 2017 15:21:41 -0500<br>Subject: Apple Inc. is Hiring with an Attractive Pay!!!<br>Need weekly pay for driving your car?<br><br>Make $ 400 every week for having an AD of Apple Inc. attached to you car<br>while you drive.<br><br>Reply to find out more.<br><br><br>Steven Walls<br><br></div>I assume Mr Walls is the hacker (or his/her alias) and was using her account to send out spam emails. We have changed her password to something a little more obtuse than what she was using....Will have to get her set up with LastPass to keep her honest with her passwords.<br><br></div>Anything else we should do?<br><br></div>Thanks!<span class="HOEnZb"><font color="#888888"><br><br></font></span></div><span class="HOEnZb"><font color="#888888">Mark<br></font></span></div>
</blockquote></div><br></div>