|
Re: Your text, Re: Your Music usw. und *.pif-Datei als Anhang Hallo ins Forum, seit ein paar Wochen kriege ich pünktlich jeden Morgen eine E-Mail in das Postfach bei meinem Unternehmen geschickt, die immer nach dem gleichen Strickmuster konzipiert ist: Der Absender sieht wie eine echte E-Mail-Adresse aus, also zum Beispiel fritz.mueller@xy-gmbh.de. Es waren aber auch schon "name@gmx.de" oder "name@t-online.de" dabei. Die Mails bestehen aus einer Betreffzeile und einer angehängten Datei; sie enthalten keinen Text. Die Betreffzeile fängt immer mit "Re:" an. Dann folgen verschiedene englische Begriffe, z.B. "Your text", "Your music", "Approved", "Thanks" oder "Here is the document". Als Anhang werden immer *.pif-Dateien mitgeschickt, die z.B. "your_text.pif", "mp3music.pif" oder "document.pif" heißen. Bisher habe ich diese Mails einfach immer gelöscht, natürlich ohne die *.pif-Dateien anzuklicken. Mein eigener Rechner scheint auch virenfrei zu sein, zumindest finden die "Norton Internet Security" und "eTrust" nichts. Heute morgen hatte ich aber zusätzlich eine Reihe von Meldungen im Postfach, daß von meiner E-Mail-Adresse aus virenverseuchte Mails verschickt würden, die dann von den Sicherheits-Programmen der Empfänger zurückkamen. Unser "Netzwerk-Experte" behauptet stereotyp, der Zentralrechner im Unternehmen sei sicher und virenfrei, weil auf ihm eTrust läuft, das täglich automatisch aktualisiert wird. Nun ja - irgendwie bin ich verunsichert. Weiß jemand von Euch Experten (selber habe ich nicht viel Ahnung von Computern), was da passiert und wie man es abstellen kann? Mich stört vor allem, daß ich scheinbar - ohne es zu wissen - an andere Leute virenverseuchte Dateien schicke ... Danke im Voraus für Eure Tips! Freundliche Grüße aus dem Allgäu Joachim |
Selbst wenn jemand mails erhält, die scheinbar von deiner Adresse stammen, müssen diese nicht automatisch tatsächlich von deinem Rechner abgeschickt worden sein. Es ist beispielsweise möglich, dass der PC eines deiner Bekannten/Geschäftspartner verseucht ist, der dich in seinem Adressbuch hat und der Schädling dann deine Adresse benutzt, um sich zu verbreiten. Lade dir bitte mal dieses Programm herunter, erstelle eine Logdatei und poste deren Inhalt hier in den Thread. http://www.trojaner-board.de/51130-a...ijackthis.html Welches mailprogramm verwendest du? |
Hallo MountainKing, vielen Dank für Deine schnelle Antwort. Mein Mailprogramm ist ein älteres Schätzchen: Outlook 97. Das mit der Logdatei habe ich hoffentlich richtig gemacht (bin Laie). Da isse: Logfile of HijackThis v1.98.2 Scan saved at 17:13:12, on 09.09.2004 Platform: Windows 2000 SP1 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\PackethSvc.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\System32\svchost.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\wanmpsvc.exe C:\WINNT\System32\ZipToA.exe C:\WINNT\Explorer.Exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\Microsoft Office\Office\MSOFFICE.EXE C:\Programme\Nikon\NkView5\NkvMon.exe C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe C:\Programme\AOL 7.0\download\achim\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - Startup: PowerReg SchedulerV2.exe O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://ums.media-n.de/qp2.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab ... Und darin kann man was erkennen :-) ? Viele Grüße, Joachim |
Man kann zumindest erkennen, dass dein System dringend upgedated werden sollte. :) Es gibt inzwischen Service Pack 4 für Windows 2000, das würde ich auf jeden Fall installieren, sind immer auch Sicherheitspatches dabei, ein Windowsupdate ist sowieso regelmäßig (wöchentlich IMO) zu empfehlen. Ansonsten sieht das Log für mich allerdings sauber aus. Zur Sicherheit kannst du auch mal E-Scan durchlaufen lassen, als Zwetscanner sehr empfehlenswert, da ohne Installation und Hintergrundwächter: http://www.trojaner-board.de/42731-escan-anleitung.html |
Hallo MountainKing, nochmal danke für Deine Blitz-Diagnose! Daß ich mit Windows 2000 SP1 ein Uralt-Fossil bin, sehe ich ein ;) . Deinen Rat, SP4 zu installieren und den zweiten Virenscanner laufen zu lassen, werde ich jedenfalls heute noch umsetzen ... Auf jeden Fall ist schon mal beruhigend, daß mit meinem Notebook alles in Ordnung zu sein scheint. Trotzdem frage ich mich (siehe meine erste Mail), warum ich 1. jeden Tag zur gleichen Zeit eine ominöse Mail kriege. Und 2. kapiere ich nicht, wieso von meiner Firmenadresse offensichtlich verseuchte Mails verschickt werden. Das kann doch dann nur am Firmenserver liegen, oder? Oder kennst Du noch andere Möglichkeiten bzw. einen Link, wo ich mich schlauer machen kann? Denn mir ist fast noch wichtiger, daß ich nicht die Kunden- und Bekannten-Rechner verseuche ... Danke und Gruß, Joachim |
Zitat:
|
Zitat:
schau mal auch da: => http://www.trojaner-board.com/showthread.php?t=7261 |
Hallo Shadow, zu Outlook 97 / 98: Keine Ahnung, ob Bill Gates wirklich kostenlos die "Version 98" verteilt hat. Bei mir ist sie jedenfalls nicht angekommen :-) . Bitte nicht falsch verstehen, das Programm ist keine Raubkopie, sondern ganz normal gekauft. Ich habe es aber - soweit ich mich erinnere - nicht registriert. Dann zu den Mails, die von meiner Adresse ausgehen. Ich sollte vielleicht erst noch mal genauer erklären. "Mein Computer" ist ein Laptop. Wenn ich damit ins Netz gehe, tue ich es über AOL und IE 6.0. Meine privaten E-Mails kriege und verschicke ich auch über AOL. Das alte Outlook verwende ich nur, um über meine Firmen-E-Mail-Adresse Mails zu schicken und vom Firmenserver abzurufen. Die Firmenadresse ist sinngemäß name@abc-gmbh.xx. "xx" steht für Deutschland, das Unternehmen heißt ABC GmbH. Insofern paßt das zu Deinem Beitrag im anderen Thread, daß mein Name rein zufällig von einem Spammer ausgewählt worden ist. Was mich verblüfft ist, daß ich jeden Montag bis Freitag zwischen 8 und 9:30 eine Mail mit immer gleichem Strickmuster kriege und daß meine Adresse seit heute scheinbar auch als Absender verwendet wird. Nein, einen Beweis, daß diese Mails von meinem Laptop erzeugt wurden, habe ich nicht. Denn: eTrust und Norton finden keine Viren, außerdem ist das Logfile clean. Daß die Mails unter Benutzung meiner Adresse vom Firmen-Rechner kommen, kann ich ebenso wenig beweisen. Ich habe aber den Verdacht, daß es so sein könnte. Unser Computer-Experte bestreitet es aber vehement. Er argumentiert, mit eTrust sei das System 100%ig abgesichert. Worin ich mich bestätigt sehe: Einer meiner Kollegen hatte vor zwei Monaten einen total verseuchten Laptop. Damit hat er mit dem Firmen-Server kommuniziert. Der Laptop ist inzwischen wieder o.k., aber vielleicht hat der Server eine Macke zurückbehalten ...? Und schließlich ein zweites Indiz: von der info-Adresse des Firmenservers ging neulich eine Mail an eine ganz konkrete Kundenadresse. Betreff "Sex Pictures". War ein echter Lacherfolg beim Kunden .... Für mich ist es aber ein Hinweis, daß ein ungebetener Gast auf dem Server sitzt, der sich im Adressbuch des dortigen Outlook Express bedient hat ... Tja - wie kriege ich das raus? Vielleicht lasse ich das "Hijack-Programm" mal auf dem Server laufen? Gruß, Joachim |
Hallo drkaeppler, mir ist vor einiger Zeit das Gleiche passiert wie Dir, Bekannte und Unbekannte bekamen Mails von meiner Mailadresse mit einem verwurmten Mail-Anhang. Ich habe das damals u.a. hier an Board bekannt gemacht. Aus meinem damaligen Thread zitiere ich unseren Moderator Cobra: Zitat:
SD |
Hallo Shadowdance, danke für Deinen Beitrag und den Link zu den früheren Thread. Echt - 350 gefälschte E-Mails pro Tag? Da geht's meinen Kunden und mir ja noch richtig gut :-) . Trotzdem muß eine Lösung für diese Sch...e her. Ich werde mal die Sache mit den Return Paths ansehen lassen. By the way: Ich finde dieses Forum klasse! Großes Kompliment an die Moderatoren und die Teilnehmer. Hier kriegt man wenigstens Informationen, die man auch als Laie nachvollziehen kann! Gruß aus dem Allgäu, Joachim |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board