Hallo ins Forum,

seit ein paar Wochen kriege ich pünktlich jeden Morgen eine E-Mail in das Postfach bei meinem Unternehmen geschickt, die immer nach dem gleichen Strickmuster konzipiert ist:

Der Absender sieht wie eine echte E-Mail-Adresse aus, also zum Beispiel fritz.mueller@xy-gmbh.de. Es waren aber auch schon "name@gmx.de" oder "name@t-online.de" dabei.

Die Mails bestehen aus einer Betreffzeile und einer angehängten Datei; sie enthalten keinen Text. Die Betreffzeile fängt immer mit "Re:" an. Dann folgen verschiedene englische Begriffe, z.B. "Your text", "Your music", "Approved", "Thanks" oder "Here is the document". Als Anhang werden immer *.pif-Dateien mitgeschickt, die z.B. "your_text.pif", "mp3music.pif" oder "document.pif" heißen.

Bisher habe ich diese Mails einfach immer gelöscht, natürlich ohne die *.pif-Dateien anzuklicken. Mein eigener Rechner scheint auch virenfrei zu sein, zumindest finden die "Norton Internet Security" und "eTrust" nichts.

Heute morgen hatte ich aber zusätzlich eine Reihe von Meldungen im Postfach, daß von meiner E-Mail-Adresse aus virenverseuchte Mails verschickt würden, die dann von den Sicherheits-Programmen der Empfänger zurückkamen.

Unser "Netzwerk-Experte" behauptet stereotyp, der Zentralrechner im Unternehmen sei sicher und virenfrei, weil auf ihm eTrust läuft, das täglich automatisch aktualisiert wird.

Nun ja - irgendwie bin ich verunsichert. Weiß jemand von Euch Experten (selber habe ich nicht viel Ahnung von Computern), was da passiert und wie man es abstellen kann? Mich stört vor allem, daß ich scheinbar - ohne es zu wissen - an andere Leute virenverseuchte Dateien schicke ...

Danke im Voraus für Eure Tips!

Freundliche Grüße aus dem Allgäu

Joachim

Selbst wenn jemand mails erhält, die scheinbar von deiner Adresse stammen, müssen diese nicht automatisch tatsächlich von deinem Rechner abgeschickt worden sein. Es ist beispielsweise möglich, dass der PC eines deiner Bekannten/Geschäftspartner verseucht ist, der dich in seinem Adressbuch hat und der Schädling dann deine Adresse benutzt, um sich zu verbreiten.

Lade dir bitte mal dieses Programm herunter, erstelle eine Logdatei und poste deren Inhalt hier in den Thread.

http://www.trojaner-board.de/51130-a...ijackthis.html

Welches mailprogramm verwendest du?

Hallo MountainKing,

vielen Dank für Deine schnelle Antwort.

Mein Mailprogramm ist ein älteres Schätzchen: Outlook 97. Das mit der Logdatei habe ich hoffentlich richtig gemacht (bin Laie). Da isse:

Logfile of HijackThis v1.98.2
Scan saved at 17:13:12, on 09.09.2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PackethSvc.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\Explorer.Exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\AOL 7.0\download\achim\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://ums.media-n.de/qp2.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab


... Und darin kann man was erkennen :-) ?

Viele Grüße, Joachim

Man kann zumindest erkennen, dass dein System dringend upgedated werden sollte. Es gibt inzwischen Service Pack 4 für Windows 2000, das würde ich auf jeden Fall installieren, sind immer auch Sicherheitspatches dabei, ein Windowsupdate ist sowieso regelmäßig (wöchentlich IMO) zu empfehlen.

Ansonsten sieht das Log für mich allerdings sauber aus. Zur Sicherheit kannst du auch mal E-Scan durchlaufen lassen, als Zwetscanner sehr empfehlenswert, da ohne Installation und Hintergrundwächter:

http://www.trojaner-board.de/42731-escan-anleitung.html

Hallo MountainKing,

nochmal danke für Deine Blitz-Diagnose!

Daß ich mit Windows 2000 SP1 ein Uralt-Fossil bin, sehe ich ein . Deinen Rat, SP4 zu installieren und den zweiten Virenscanner laufen zu lassen, werde ich jedenfalls heute noch umsetzen ...

Auf jeden Fall ist schon mal beruhigend, daß mit meinem Notebook alles in Ordnung zu sein scheint.

Trotzdem frage ich mich (siehe meine erste Mail), warum ich 1. jeden Tag zur gleichen Zeit eine ominöse Mail kriege. Und 2. kapiere ich nicht, wieso von meiner Firmenadresse offensichtlich verseuchte Mails verschickt werden. Das kann doch dann nur am Firmenserver liegen, oder?

Oder kennst Du noch andere Möglichkeiten bzw. einen Link, wo ich mich schlauer machen kann? Denn mir ist fast noch wichtiger, daß ich nicht die Kunden- und Bekannten-Rechner verseuche ...

Danke und Gruß, Joachim

Zitat:

Zitat von drkaeppler

Mein Mailprogramm ist ein älteres Schätzchen: Outlook 97.

War das nicht so defekt, dass damals M$ kostenlos(!) Updates auf Outlook98 verteilen ließ?

Zitat:

Zitat von drkaeppler

Und 2. kapiere ich nicht, wieso von meiner Firmenadresse offensichtlich verseuchte Mails verschickt werden. Das kann doch dann nur am Firmenserver liegen, oder?

Hast Du irgendeinen Beweis dass er VON deinem Rechner stammt oder trägt es nur Deine Absenderadress?

schau mal auch da: =>
http://www.trojaner-board.com/showthread.php?t=7261

Hallo Shadow,

zu Outlook 97 / 98: Keine Ahnung, ob Bill Gates wirklich kostenlos die "Version 98" verteilt hat. Bei mir ist sie jedenfalls nicht angekommen :-) . Bitte nicht falsch verstehen, das Programm ist keine Raubkopie, sondern ganz normal gekauft. Ich habe es aber - soweit ich mich erinnere - nicht registriert.

Dann zu den Mails, die von meiner Adresse ausgehen. Ich sollte vielleicht erst noch mal genauer erklären. "Mein Computer" ist ein Laptop. Wenn ich damit ins Netz gehe, tue ich es über AOL und IE 6.0. Meine privaten E-Mails kriege und verschicke ich auch über AOL.

Das alte Outlook verwende ich nur, um über meine Firmen-E-Mail-Adresse Mails zu schicken und vom Firmenserver abzurufen. Die Firmenadresse ist sinngemäß name@abc-gmbh.xx. "xx" steht für Deutschland, das Unternehmen heißt ABC GmbH. Insofern paßt das zu Deinem Beitrag im anderen Thread, daß mein Name rein zufällig von einem Spammer ausgewählt worden ist. Was mich verblüfft ist, daß ich jeden Montag bis Freitag zwischen 8 und 9:30 eine Mail mit immer gleichem Strickmuster kriege und daß meine Adresse seit heute scheinbar auch als Absender verwendet wird.

Nein, einen Beweis, daß diese Mails von meinem Laptop erzeugt wurden, habe ich nicht. Denn: eTrust und Norton finden keine Viren, außerdem ist das Logfile clean. Daß die Mails unter Benutzung meiner Adresse vom Firmen-Rechner kommen, kann ich ebenso wenig beweisen. Ich habe aber den Verdacht, daß es so sein könnte. Unser Computer-Experte bestreitet es aber vehement. Er argumentiert, mit eTrust sei das System 100%ig abgesichert.

Worin ich mich bestätigt sehe: Einer meiner Kollegen hatte vor zwei Monaten einen total verseuchten Laptop. Damit hat er mit dem Firmen-Server kommuniziert. Der Laptop ist inzwischen wieder o.k., aber vielleicht hat der Server eine Macke zurückbehalten ...?

Und schließlich ein zweites Indiz: von der info-Adresse des Firmenservers ging neulich eine Mail an eine ganz konkrete Kundenadresse. Betreff "Sex Pictures". War ein echter Lacherfolg beim Kunden .... Für mich ist es aber ein Hinweis, daß ein ungebetener Gast auf dem Server sitzt, der sich im Adressbuch des dortigen Outlook Express bedient hat ...

Tja - wie kriege ich das raus? Vielleicht lasse ich das "Hijack-Programm" mal auf dem Server laufen?

Gruß, Joachim

Hallo drkaeppler,

mir ist vor einiger Zeit das Gleiche passiert wie Dir, Bekannte und Unbekannte bekamen Mails von meiner Mailadresse mit einem verwurmten Mail-Anhang. Ich habe das damals u.a. hier an Board bekannt gemacht.

Aus meinem damaligen Thread zitiere ich unseren Moderator Cobra:

Zitat:

Zitat von Cobra

Leute,

alle modernen Würmer fälschen den Absender. Dazu reicht im übrigen der IE-Cache....man muß also nicht mal im Adressbuch stehen.

Mittlerweile bekomme ich übrigens mehr Mail durch enrüstete (und ahnungslose) Anwender sowie von ignoranten Admins wegen meiner angeblichen Virenmails als von der Penis/Viagra-Fraktion.

Deswegen könnte ShadowDance' Post durchaus sinnvoll sein. Sinnvoller noch wäre es, wenn endlich mal kapiert wird, das auf Worm-Mails kein Bounce und keine Antwort zu erfolgen hat. Die Dinger gehören gelöscht und nichts anderes.

Cobra

... Du siehst, Du hast viele Leidensgefährten und Euer Computer-Experte dürfte recht behalten.

SD

Hallo Shadowdance,

danke für Deinen Beitrag und den Link zu den früheren Thread.

Echt - 350 gefälschte E-Mails pro Tag? Da geht's meinen Kunden und mir ja noch richtig gut :-) .

Trotzdem muß eine Lösung für diese Sch...e her. Ich werde mal die Sache mit den Return Paths ansehen lassen.

By the way: Ich finde dieses Forum klasse! Großes Kompliment an die Moderatoren und die Teilnehmer. Hier kriegt man wenigstens Informationen, die man auch als Laie nachvollziehen kann!

Gruß aus dem Allgäu,

Joachim