Warnung - Mailwurm in meinem Mailadressverzeichnis

[Rotti]

Zitat:

Zitat von bootsboerse.at

Hallo Thomas, deine Tips in Ehren, aber wenn sich

@Dieter: hijackthis ist auf jedenfall sehr gut, das Logfile kannst ruhig an Thomas oder mich versenden, du kannst es aber auf Um Links zu sehen, bitte registrieren auch selber auswerten.

......, aber 100% Schutz gibt es nicht!

Hi BErny und andere PC Profis!

Komisch irgendwie, aber wenn ich auf obigen LInk zu Hijackthis wechsle klinkt sich immer mein IE aus. D.h. egal ob ich hier aus dem Forum auf HIjackthis gehe oder ob ich den Link kopiere und ihn in einem eigenen Fenster öffne. Jedesmal schaltet sich der IE ab und schließt sich.

LG
Mathias

[elmarG.]

Zitat:

Zitat von Rotti

Hi BErny und andere PC Profis!

Komisch irgendwie, aber wenn ich auf obigen LInk zu Hijackthis wechsle klinkt sich immer mein IE aus. D.h. egal ob ich hier aus dem Forum auf HIjackthis gehe oder ob ich den Link kopiere und ihn in einem eigenen Fenster öffne. Jedesmal schaltet sich der IE ab und schließt sich.

LG
Mathias

...wie wär's wennst endlich auf den Firefoxxxxx umsteigst...?

ps.: diesmal hab' ich nix bekommen...

Hi,
habe gerade wieder eine verseuchte Mail von Dieter bekommen , ist ja nix neues .
Aber von Mathias ( Rotti ) habe ich gerade auch eine bekommen
Solltet mal eure Mailausgänge kontrolieren,
Gruß Udo

[Rotti]

Hi Udu!

Also in meinem Ordner " gesendet " ist nichts drinnen was erkennen lässt dass ich was versendet hätte. Weder der Virenscan noch Spybot noch Ad Adware zeigt irgendwas aussergewähnliches an. Komisch??!!


Mathias

Zitat:

Zitat von Rotti

Hi Udu!

Also in meinem Ordner " gesendet " ist nichts drinnen was erkennen lässt dass ich was versendet hätte. Weder der Virenscan noch Spybot noch Ad Adware zeigt irgendwas aussergewähnliches an. Komisch??!!


Mathias

Hallo Mathias,
so habe ich es bekommen
Geht dann noch weiter , sind die gleichen Mails wie die von Dieter.
Gruß Udo
Ps. habe deine eMail unkenntlich gemacht






Seu Amigo (a) M.rottensteiner - ( m.rot..............@sbg.at )
Enviou uma WebCharges do UOLCharges no dia 23/05/2007!.

Para a visualização da Animação Utilize:

Zitat:

Zitat von Rotti

Hi Udu!

Also in meinem Ordner " gesendet " ist nichts drinnen was erkennen lässt dass ich was versendet hätte. Weder der Virenscan noch Spybot noch Ad Adware zeigt irgendwas aussergewähnliches an. Komisch??!!


Mathias

Hallo Mathias,
so habe ich es bekommen
Geht dann noch weiter , sind die gleichen Mails wie die von Dieter.
Gruß Udo
Ps. habe deine eMail unkenntlich gemacht







Olá udo......... ,

Seu Amigo (a) M.rottensteiner - ( m.rot..............@sbg.at )
Enviou uma WebCharges do UOLCharges no dia 23/05/2007!.

Para a visualização da Animação Utilize:

ich hab auch ein Mail von DieterM und Rotti bekommen


PS: ich würd vorschlagen, ihr formatiert eure Pcs und setzt neu auf, das ist immer noch die sicherste Methode, allen Spezialisten zum Trotz

[Lutti069]

Ich habe auch gerade eine Wurm-Mail von Rotti bekommen und sie sofort gelöscht......... weil ich kann kein spanisch!!!!

[elmarG.]

Zitat:

Zitat von Udo

Hallo Mathias,
so habe ich es bekommen
Geht dann noch weiter , sind die gleichen Mails wie die von Dieter.
Gruß Udo
Ps. habe deine eMail unkenntlich gemacht

Olá udo......... ,

Seu Amigo (a) M.rottensteiner - ( m.rot..............@sbg.at )
Enviou uma WebCharges do UOLCharges no dia 23/05/2007!.

Para a visualização da Animação Utilize:

:::so ein ähnliches hab ich gestern vom Dieter bekommen... auf italiänisch...

[Berny]

Also, hier mal ein Anfang:
Die Mails wurden über den Pureserver ausgesendet.
(interessant die Bezeichnugn "UserID 30" !!!
p15158747.pureserver.info (Postfix, from userid 30)
Ebenso interessant, bei Um Links zu sehen, bitte registrieren kommt man zu confixx, einem Server-Configurations-Programm)

a) Mailversand
1) Sollte eine direkte Aussendung per Wurm geschehen sein, müsste Rotti mit seinem PC direkt am Serversystem Pureserver hängen, tut er aber nicht, er hängt am Kabelnetz von sbg.at (denke ich mal).
2) Sollte die mail über Rottis Mailprogramm ausgesendet worden sein, müsste sbg.at am Pureserver liegen, tuts aber nicht (liegt bei UTA).

Ergo: Rotti hat diese Mail nicht versendet.

Rein von den Headern lässt sich vermuten, dass ein Script am Pureserver (Schund&Partner, 1und1, usw) diese Mails verschickt.
Der Verdacht liegt nahe, dass eine Webseite, die am Pureserver gehostet wurde, gehackt wurde, und darüber die Mails versendet werden.

Ich gehe auch davon aus, dass in nächster Zeit E-Mails von best-data und anderen Absender-Adressen folgen werden, Dieter und Rotti waren vermutlich nur der Anfang.

b) Direkter Hackangriff:
Aufgrund der Tatsache, dass in der Mail ein .gif vorhanden ist, welches auf einem anderem Server liegt ( ttp://www.....com.au/files/***/070.gif, adresse wg Verlinkung geändert!), kann davon ausgegangen werden, dass nach lesen der Mails ein Hackangriff auf den PC des Users stattfindet (Aufgrund des gifs ist es für den Hacker nachvollziebar, welche IP gerade online ist, welches Mailprogramm (indirekt damit verbunden die IE-Version) verwendet wird, welche Windowsverision usw usw).
Es gibt ebenso die Möglichkeit, dass in diesem Gif ein Schadecode implementiert ist, ich denke aber nicht.

Auf jedenfall sollte man darauf achten, dass fremde Grafiken nicht angezeigt werden. (Diese Einstellung gibt es bei Thunderbird und bei neuesten Outlook-Versionen)

c) E-mail Adressen:

Naja, die Adressen stammen von einem Adressbuch eines Forumsusers, das scheint ziemlich sicher. Irgendwann wurde über einen Trojaner dieses ausspioniert und die Adressen in einer Datenbank gespeichert, die jetzt für die Aussendung der Mails verantwortlich ist.

thats it.

Also Dieter und Mathias, derzeit scheint kein Bedarf zu sein, den Rechner platt zu machen, sehr wohl würde ich aber die Firewall-Einstellungen überprüfen !

Ein paar Scherzchen zum Schluss:
@Ferdi: Pech gehabt, kannst die beiden nicht sekkieren
@Landratte: Da das Forum auf dem Pureserversystem liegt, könnte es auch sein, dass du verantwortlich bist, du hast die UserID 30

[DieterM]

Zitat:

Zitat von Udo

Hi,
habe gerade wieder eine verseuchte Mail von Dieter bekommen , ist ja nix neues .
Aber von Mathias ( Rotti ) habe ich gerade auch eine bekommen
Solltet mal eure Mailausgänge kontrolieren,
Gruß Udo

Tut mir Leid Udo, habe heute über 2 Stunden ein Großreinemachen in meinem Notebook durchgeführt. Nachdem ich gestern schon den Skype vorsorglich desinstalliert hatte, wurde heute die von Symantec (NORTON) unter gesichertem Modus extra empfohlenen Arbeiten durchgeführt (extra Anfrage mit Muster des infizierten Textes). Zusätzlich habe ich den Rechner entschlackt und defragmentiert. Zusätzlich habe ich den Spybot nochmal drüber laufen lassen der nichts mehr gefunden hat, natürlich alles in gesichertem Modus.

Aber anscheinend sitz der Trojaner aus Brasilien immer noch drin, das Mistvieh! ...

Wenn das weiter anhält, werde ich wohl oder übel meinen Rechner komplett neu aufbooten müssen. Leider geht die Ad-aware nicht drauf, das System sperrt sich, hatte mir Rotti (danke!) auch schon empfohlen. Auch Snoopy und Berny hier vielen Dank für die Empfehlungen.

[Holger K.]

Zitat:

Zitat von DieterM

Tut mir Leid Udo, habe heute über 2 Stunden ein Großreinemachen in meinem Notebook durchgeführt. Nachdem ich gestern schon den Skype vorsorglich desinstalliert hatte, wurde heute die von Symantec (NORTON) unter gesichertem Modus extra empfohlenen Arbeiten durchgeführt (extra Anfrage mit Muster des infizierten Textes). Zusätzlich habe ich den Rechner entschlackt und defragmentiert. Zusätzlich habe ich den Spybot nochmal drüber laufen lassen der nichts mehr gefunden hat, natürlich alles in gesichertem Modus.

Aber anscheinend sitz der Trojaner aus Brasilien immer noch drin, das Mistvieh! ...

Wenn das weiter anhält, werde ich wohl oder übel meinen Rechner komplett neu aufbooten müssen. Leider geht die Ad-aware nicht drauf, das System sperrt sich, hatte mir Rotti (danke!) auch schon empfohlen. Auch Snoopy und Berny hier vielen Dank für die Empfehlungen.

Hast du den Stinger aus meinem Link versucht ?
Wichtig:
Schalte auch die Systemwiederherstellung ab , sonst hast du das Teil nach jedem booten wieder ,
Ansonsten die Kiste plattmachen
Lasst mich raten ,verwendet ihr Outlook ?

[N8falke]

Mich hat der Rotti heute auch erwischt!

mathias, hab auch post von dir bekommen.
blöde frage von einem, der sich mit der technik nicht auskennt:

wenn ich das mail aufgemacht habe, aber nicht den anhang, kann dann auch schon was passiert sein?
hab übrigens keinen outlook, mach das alles über webmail.

lg martin