Hallo ins Forum,

seit ein paar Wochen kriege ich pünktlich jeden Morgen eine E-Mail in das Postfach bei meinem Unternehmen geschickt, die immer nach dem gleichen Strickmuster konzipiert ist:

Der Absender sieht wie eine echte E-Mail-Adresse aus, also zum Beispiel fritz.mueller@xy-gmbh.de. Es waren aber auch schon "name@gmx.de" oder "name@t-online.de" dabei.

Die Mails bestehen aus einer Betreffzeile und einer angehängten Datei; sie enthalten keinen Text. Die Betreffzeile fängt immer mit "Re:" an. Dann folgen verschiedene englische Begriffe, z.B. "Your text", "Your music", "Approved", "Thanks" oder "Here is the document". Als Anhang werden immer *.pif-Dateien mitgeschickt, die z.B. "your_text.pif", "mp3music.pif" oder "document.pif" heißen.

Bisher habe ich diese Mails einfach immer gelöscht, natürlich ohne die *.pif-Dateien anzuklicken. Mein eigener Rechner scheint auch virenfrei zu sein, zumindest finden die "Norton Internet Security" und "eTrust" nichts.

Heute morgen hatte ich aber zusätzlich eine Reihe von Meldungen im Postfach, daß von meiner E-Mail-Adresse aus virenverseuchte Mails verschickt würden, die dann von den Sicherheits-Programmen der Empfänger zurückkamen.

Unser "Netzwerk-Experte" behauptet stereotyp, der Zentralrechner im Unternehmen sei sicher und virenfrei, weil auf ihm eTrust läuft, das täglich automatisch aktualisiert wird.

Nun ja - irgendwie bin ich verunsichert. Weiß jemand von Euch Experten (selber habe ich nicht viel Ahnung von Computern), was da passiert und wie man es abstellen kann? Mich stört vor allem, daß ich scheinbar - ohne es zu wissen - an andere Leute virenverseuchte Dateien schicke ...

Danke im Voraus für Eure Tips!

Freundliche Grüße aus dem Allgäu

Joachim

Selbst wenn jemand mails erhält, die scheinbar von deiner Adresse stammen, müssen diese nicht automatisch tatsächlich von deinem Rechner abgeschickt worden sein. Es ist beispielsweise möglich, dass der PC eines deiner Bekannten/Geschäftspartner verseucht ist, der dich in seinem Adressbuch hat und der Schädling dann deine Adresse benutzt, um sich zu verbreiten.

Lade dir bitte mal dieses Programm herunter, erstelle eine Logdatei und poste deren Inhalt hier in den Thread.

http://www.trojaner-board.de/51130-a...ijackthis.html

Welches mailprogramm verwendest du?

Hallo MountainKing,

vielen Dank für Deine schnelle Antwort.

Mein Mailprogramm ist ein älteres Schätzchen: Outlook 97. Das mit der Logdatei habe ich hoffentlich richtig gemacht (bin Laie). Da isse:

Logfile of HijackThis v1.98.2
Scan saved at 17:13:12, on 09.09.2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PackethSvc.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\Explorer.Exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\AOL 7.0\download\achim\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://ums.media-n.de/qp2.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab


... Und darin kann man was erkennen :-) ?

Viele Grüße, Joachim

Man kann zumindest erkennen, dass dein System dringend upgedated werden sollte. Es gibt inzwischen Service Pack 4 für Windows 2000, das würde ich auf jeden Fall installieren, sind immer auch Sicherheitspatches dabei, ein Windowsupdate ist sowieso regelmäßig (wöchentlich IMO) zu empfehlen.

Ansonsten sieht das Log für mich allerdings sauber aus. Zur Sicherheit kannst du auch mal E-Scan durchlaufen lassen, als Zwetscanner sehr empfehlenswert, da ohne Installation und Hintergrundwächter:

http://www.trojaner-board.de/42731-escan-anleitung.html

Hallo MountainKing,

nochmal danke für Deine Blitz-Diagnose!

Daß ich mit Windows 2000 SP1 ein Uralt-Fossil bin, sehe ich ein . Deinen Rat, SP4 zu installieren und den zweiten Virenscanner laufen zu lassen, werde ich jedenfalls heute noch umsetzen ...

Auf jeden Fall ist schon mal beruhigend, daß mit meinem Notebook alles in Ordnung zu sein scheint.

Trotzdem frage ich mich (siehe meine erste Mail), warum ich 1. jeden Tag zur gleichen Zeit eine ominöse Mail kriege. Und 2. kapiere ich nicht, wieso von meiner Firmenadresse offensichtlich verseuchte Mails verschickt werden. Das kann doch dann nur am Firmenserver liegen, oder?

Oder kennst Du noch andere Möglichkeiten bzw. einen Link, wo ich mich schlauer machen kann? Denn mir ist fast noch wichtiger, daß ich nicht die Kunden- und Bekannten-Rechner verseuche ...

Danke und Gruß, Joachim

Zitat:

Zitat von drkaeppler

Und 2. kapiere ich nicht, wieso von meiner Firmenadresse offensichtlich verseuchte Mails verschickt werden. Das kann doch dann nur am Firmenserver liegen, oder?

Hast Du irgendeinen Beweis dass er VON deinem Rechner stammt oder trägt es nur Deine Absenderadress?

schau mal auch da: =>
http://www.trojaner-board.com/showthread.php?t=7261

Zitat:

Zitat von drkaeppler

Mein Mailprogramm ist ein älteres Schätzchen: Outlook 97.

War das nicht so defekt, dass damals M$ kostenlos(!) Updates auf Outlook98 verteilen ließ?