Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.09.2004, 15:13   #1
drkaeppler
 
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Frage

Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang



Hallo ins Forum,

seit ein paar Wochen kriege ich pünktlich jeden Morgen eine E-Mail in das Postfach bei meinem Unternehmen geschickt, die immer nach dem gleichen Strickmuster konzipiert ist:

Der Absender sieht wie eine echte E-Mail-Adresse aus, also zum Beispiel fritz.mueller@xy-gmbh.de. Es waren aber auch schon "name@gmx.de" oder "name@t-online.de" dabei.

Die Mails bestehen aus einer Betreffzeile und einer angehängten Datei; sie enthalten keinen Text. Die Betreffzeile fängt immer mit "Re:" an. Dann folgen verschiedene englische Begriffe, z.B. "Your text", "Your music", "Approved", "Thanks" oder "Here is the document". Als Anhang werden immer *.pif-Dateien mitgeschickt, die z.B. "your_text.pif", "mp3music.pif" oder "document.pif" heißen.

Bisher habe ich diese Mails einfach immer gelöscht, natürlich ohne die *.pif-Dateien anzuklicken. Mein eigener Rechner scheint auch virenfrei zu sein, zumindest finden die "Norton Internet Security" und "eTrust" nichts.

Heute morgen hatte ich aber zusätzlich eine Reihe von Meldungen im Postfach, daß von meiner E-Mail-Adresse aus virenverseuchte Mails verschickt würden, die dann von den Sicherheits-Programmen der Empfänger zurückkamen.

Unser "Netzwerk-Experte" behauptet stereotyp, der Zentralrechner im Unternehmen sei sicher und virenfrei, weil auf ihm eTrust läuft, das täglich automatisch aktualisiert wird.

Nun ja - irgendwie bin ich verunsichert. Weiß jemand von Euch Experten (selber habe ich nicht viel Ahnung von Computern), was da passiert und wie man es abstellen kann? Mich stört vor allem, daß ich scheinbar - ohne es zu wissen - an andere Leute virenverseuchte Dateien schicke ...

Danke im Voraus für Eure Tips!

Freundliche Grüße aus dem Allgäu

Joachim

Alt 09.09.2004, 15:25   #2
MountainKing
 
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Standard

Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang



Selbst wenn jemand mails erhält, die scheinbar von deiner Adresse stammen, müssen diese nicht automatisch tatsächlich von deinem Rechner abgeschickt worden sein. Es ist beispielsweise möglich, dass der PC eines deiner Bekannten/Geschäftspartner verseucht ist, der dich in seinem Adressbuch hat und der Schädling dann deine Adresse benutzt, um sich zu verbreiten.

Lade dir bitte mal dieses Programm herunter, erstelle eine Logdatei und poste deren Inhalt hier in den Thread.

http://www.trojaner-board.de/51130-a...ijackthis.html

Welches mailprogramm verwendest du?
__________________


Alt 09.09.2004, 16:21   #3
drkaeppler
 
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Standard

Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang



Hallo MountainKing,

vielen Dank für Deine schnelle Antwort.

Mein Mailprogramm ist ein älteres Schätzchen: Outlook 97. Das mit der Logdatei habe ich hoffentlich richtig gemacht (bin Laie). Da isse:

Logfile of HijackThis v1.98.2
Scan saved at 17:13:12, on 09.09.2004
Platform: Windows 2000 SP1 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PackethSvc.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\Explorer.Exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\AOL 7.0\download\achim\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://ums.media-n.de/qp2.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab


... Und darin kann man was erkennen :-) ?

Viele Grüße, Joachim
__________________

Alt 09.09.2004, 16:48   #4
MountainKing
 
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Standard

Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang



Man kann zumindest erkennen, dass dein System dringend upgedated werden sollte. Es gibt inzwischen Service Pack 4 für Windows 2000, das würde ich auf jeden Fall installieren, sind immer auch Sicherheitspatches dabei, ein Windowsupdate ist sowieso regelmäßig (wöchentlich IMO) zu empfehlen.

Ansonsten sieht das Log für mich allerdings sauber aus. Zur Sicherheit kannst du auch mal E-Scan durchlaufen lassen, als Zwetscanner sehr empfehlenswert, da ohne Installation und Hintergrundwächter:

http://www.trojaner-board.de/42731-escan-anleitung.html

Alt 09.09.2004, 17:37   #5
drkaeppler
 
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Standard

Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang



Hallo MountainKing,

nochmal danke für Deine Blitz-Diagnose!

Daß ich mit Windows 2000 SP1 ein Uralt-Fossil bin, sehe ich ein . Deinen Rat, SP4 zu installieren und den zweiten Virenscanner laufen zu lassen, werde ich jedenfalls heute noch umsetzen ...

Auf jeden Fall ist schon mal beruhigend, daß mit meinem Notebook alles in Ordnung zu sein scheint.

Trotzdem frage ich mich (siehe meine erste Mail), warum ich 1. jeden Tag zur gleichen Zeit eine ominöse Mail kriege. Und 2. kapiere ich nicht, wieso von meiner Firmenadresse offensichtlich verseuchte Mails verschickt werden. Das kann doch dann nur am Firmenserver liegen, oder?

Oder kennst Du noch andere Möglichkeiten bzw. einen Link, wo ich mich schlauer machen kann? Denn mir ist fast noch wichtiger, daß ich nicht die Kunden- und Bekannten-Rechner verseuche ...

Danke und Gruß, Joachim


Alt 09.09.2004, 17:56   #6
Shadow
/// Mr. Schatten
 
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Standard

Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang



Zitat:
Zitat von drkaeppler
Mein Mailprogramm ist ein älteres Schätzchen: Outlook 97.
War das nicht so defekt, dass damals M$ kostenlos(!) Updates auf Outlook98 verteilen ließ?
__________________
--> Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang

Alt 09.09.2004, 17:58   #7
Shadow
/// Mr. Schatten
 
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Standard

Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang



Zitat:
Zitat von drkaeppler
Und 2. kapiere ich nicht, wieso von meiner Firmenadresse offensichtlich verseuchte Mails verschickt werden. Das kann doch dann nur am Firmenserver liegen, oder?
Hast Du irgendeinen Beweis dass er VON deinem Rechner stammt oder trägt es nur Deine Absenderadress?

schau mal auch da: =>
http://www.trojaner-board.com/showthread.php?t=7261
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 09.09.2004, 19:31   #8
drkaeppler
 
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Standard

Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang



Hallo Shadow,

zu Outlook 97 / 98: Keine Ahnung, ob Bill Gates wirklich kostenlos die "Version 98" verteilt hat. Bei mir ist sie jedenfalls nicht angekommen :-) . Bitte nicht falsch verstehen, das Programm ist keine Raubkopie, sondern ganz normal gekauft. Ich habe es aber - soweit ich mich erinnere - nicht registriert.

Dann zu den Mails, die von meiner Adresse ausgehen. Ich sollte vielleicht erst noch mal genauer erklären. "Mein Computer" ist ein Laptop. Wenn ich damit ins Netz gehe, tue ich es über AOL und IE 6.0. Meine privaten E-Mails kriege und verschicke ich auch über AOL.

Das alte Outlook verwende ich nur, um über meine Firmen-E-Mail-Adresse Mails zu schicken und vom Firmenserver abzurufen. Die Firmenadresse ist sinngemäß name@abc-gmbh.xx. "xx" steht für Deutschland, das Unternehmen heißt ABC GmbH. Insofern paßt das zu Deinem Beitrag im anderen Thread, daß mein Name rein zufällig von einem Spammer ausgewählt worden ist. Was mich verblüfft ist, daß ich jeden Montag bis Freitag zwischen 8 und 9:30 eine Mail mit immer gleichem Strickmuster kriege und daß meine Adresse seit heute scheinbar auch als Absender verwendet wird.

Nein, einen Beweis, daß diese Mails von meinem Laptop erzeugt wurden, habe ich nicht. Denn: eTrust und Norton finden keine Viren, außerdem ist das Logfile clean. Daß die Mails unter Benutzung meiner Adresse vom Firmen-Rechner kommen, kann ich ebenso wenig beweisen. Ich habe aber den Verdacht, daß es so sein könnte. Unser Computer-Experte bestreitet es aber vehement. Er argumentiert, mit eTrust sei das System 100%ig abgesichert.

Worin ich mich bestätigt sehe: Einer meiner Kollegen hatte vor zwei Monaten einen total verseuchten Laptop. Damit hat er mit dem Firmen-Server kommuniziert. Der Laptop ist inzwischen wieder o.k., aber vielleicht hat der Server eine Macke zurückbehalten ...?

Und schließlich ein zweites Indiz: von der info-Adresse des Firmenservers ging neulich eine Mail an eine ganz konkrete Kundenadresse. Betreff "Sex Pictures". War ein echter Lacherfolg beim Kunden .... Für mich ist es aber ein Hinweis, daß ein ungebetener Gast auf dem Server sitzt, der sich im Adressbuch des dortigen Outlook Express bedient hat ...

Tja - wie kriege ich das raus? Vielleicht lasse ich das "Hijack-Programm" mal auf dem Server laufen?

Gruß, Joachim

Alt 12.09.2004, 00:46   #9
Shadowdance
 
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Standard

Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang



Hallo drkaeppler,

mir ist vor einiger Zeit das Gleiche passiert wie Dir, Bekannte und Unbekannte bekamen Mails von meiner Mailadresse mit einem verwurmten Mail-Anhang. Ich habe das damals u.a. hier an Board bekannt gemacht.

Aus meinem damaligen Thread zitiere ich unseren Moderator Cobra:

Zitat:
Zitat von Cobra
Leute,

alle modernen Würmer fälschen den Absender. Dazu reicht im übrigen der IE-Cache....man muß also nicht mal im Adressbuch stehen.

Mittlerweile bekomme ich übrigens mehr Mail durch enrüstete (und ahnungslose) Anwender sowie von ignoranten Admins wegen meiner angeblichen Virenmails als von der Penis/Viagra-Fraktion.

Deswegen könnte ShadowDance' Post durchaus sinnvoll sein. Sinnvoller noch wäre es, wenn endlich mal kapiert wird, das auf Worm-Mails kein Bounce und keine Antwort zu erfolgen hat. Die Dinger gehören gelöscht und nichts anderes.

Cobra
... Du siehst, Du hast viele Leidensgefährten und Euer Computer-Experte dürfte recht behalten.

SD

Alt 13.09.2004, 08:56   #10
drkaeppler
 
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Standard

Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang



Hallo Shadowdance,

danke für Deinen Beitrag und den Link zu den früheren Thread.

Echt - 350 gefälschte E-Mails pro Tag? Da geht's meinen Kunden und mir ja noch richtig gut :-) .

Trotzdem muß eine Lösung für diese Sch...e her. Ich werde mal die Sache mit den Return Paths ansehen lassen.

By the way: Ich finde dieses Forum klasse! Großes Kompliment an die Moderatoren und die Teilnehmer. Hier kriegt man wenigstens Informationen, die man auch als Laie nachvollziehen kann!

Gruß aus dem Allgäu,

Joachim

Antwort

Themen zu Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang
absender, ahnung, anhang, automatisch, computer, computern, datei, document, e-mail, einfach, email, etrust, experten, folge, forum, gelöscht, gmx.de, internet, internet security, leute, mails, meinem, meldungen, norton, norton internet security, rechner, security, t-online.de, täglich, unter, verschickt, verschiedene



Ähnliche Themen: Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang


  1. Anhang als *.com in zweifach geschachtelter Zip-Datei
    Plagegeister aller Art und deren Bekämpfung - 21.07.2015 (1)
  2. Email Anhang zip-Datei mit iPhone geöffnet
    Plagegeister aller Art und deren Bekämpfung - 24.01.2015 (5)
  3. Rechtsanwaltsrechnung - Anhang mit zip-Datei geöffnet
    Plagegeister aller Art und deren Bekämpfung - 25.11.2014 (13)
  4. MS-DOS: Inhalt einer Text-Datei in Variable umwandeln!
    Alles rund um Windows - 20.08.2014 (2)
  5. Windows7 X64: Antivir Fund: "TR/Spy.ZBot.aaop" Meldung: Zugriff auf Datei wurde blockiert. Datei war in E-Mail- Anhang.
    Log-Analyse und Auswertung - 28.11.2013 (9)
  6. E-Mail mit cyrillischer Schrift und Anhang (.rar - Datei)
    Smartphone, Tablet & Handy Security - 17.11.2013 (2)
  7. Mahnung mit Anhang: MS-DOS-Anwendung in Doppel-Zip-Datei
    Plagegeister aller Art und deren Bekämpfung - 15.08.2013 (13)
  8. Mahnung mit Anhang einer DOS Datei
    Plagegeister aller Art und deren Bekämpfung - 08.07.2013 (2)
  9. Mahnung mit Anhang: MS-DOS-Anwendung in Doppel-Zip-Datei
    Plagegeister aller Art und deren Bekämpfung - 15.06.2013 (2)
  10. Mahnungsmail mit MS-DOS Datei im Anhang - Trojaner
    Plagegeister aller Art und deren Bekämpfung - 17.05.2013 (14)
  11. Mail mit ZIP-Datei im Anhang geöffnet - Trojaner?
    Log-Analyse und Auswertung - 14.05.2013 (9)
  12. Mahnung per E-Mail mit Zahlungsaufforderung, im Anhang zip-Datei
    Plagegeister aller Art und deren Bekämpfung - 18.04.2013 (9)
  13. Email mit ZIP-Datei als Anhang!
    Log-Analyse und Auswertung - 13.02.2013 (1)
  14. E-Mail von expressversand@deutscheepost.de mit ZIP-Datei im Anhang
    Plagegeister aller Art und deren Bekämpfung - 13.10.2012 (1)
  15. Trojaner einfangen über Skype Text(!)-Nachricht (kein Link, kein Anhang) möglich?
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (3)
  16. pif datei im Anhang
    Plagegeister aller Art und deren Bekämpfung - 18.04.2004 (3)

Zum Thema Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang - Hallo ins Forum, seit ein paar Wochen kriege ich pünktlich jeden Morgen eine E-Mail in das Postfach bei meinem Unternehmen geschickt, die immer nach dem gleichen Strickmuster konzipiert ist: Der - Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang...
Archiv
Du betrachtest: Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.