"Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
"Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
smayer@public-files.de smayer@fantasymail.de
Hallo
Ich hab auch was in meinem Spamordner gefunden.
Hier mal der erweiterte Header:
(Meine Mailadresse habe ich herausgelöscht.)
header:01: Erweiterte E-Mail Informationen02: Return-Path: whskagn0720 [at] naver.com03: Received: from tmailpost19-2.nm.naver.com ([114.111.39.71]) by mx-ha.web.de04: (mxweb005) with ESMTP (Nemesis) ID: [ID filtered]05: Received: from [114.111.32.200] ([114.111.32.200]) by06: tmailpost19-2.nm.naver.com ([10.25.246.50]) with ESMTP ID: [ID filtered]07: Received: from [61.33.11.18] ([61.33.11.18]) by a51506.nm.naver.com08: ([202.131.27.107]) with ESMTP ID: [ID filtered]09: MIME-Version: 1.010: Date: Fri, 18 May 2012 xx:xx:xx +090011: X-Priority: 3 (Normal)12: X-Mailer: The Bat! (v2.00.3) Personal13: Subject: Artikelbestellung 268702179614: X-TERRACE-DUMMYSUBJECT: Terrace Spam system *15: X-TERRACE-DUMMYSUBJECT: Terrace Spam system *16: From: whskagn0720 [at] naver.com17: To:18: Content-Type: multipart/mixed; boundary=-----_chilkat_782_3a57_00e62da5.555eeceb_.MIX19: Message-ID: [ID filtered]20: X-TERRACE-SPAMMARK: NOT spam-marked. (by Terrace)21: X-TERRACE-SPAMMARK: NOT spam-marked. (by Terrace)22: Envelope-To: <>23: X-UI-Filterresults: ;V01:K0:If3bsETF:fs2Sm3bK86F8MvrBVdJ7cevwGYHtTu22nAq24: lDsy+FuBPwKNKYA0+csds/X7VV+tj3pNIcu98jLBGZUQTCFS0c6cAY8jyu3ggOSOi2zH+ZV25: ue6iqOfrZWFLDf6L7JnfrVRhOwpcpWUBukLPvPm0IOjNibK53E+21ETxNU4RKLHTco/CJ8s26: 1RIhjV0aWn0nJoGzov1uZ9P9sFvEl147FaRa6kzrZQX87U20WI4Odr1VvpAyw+KWSq8ZvZv27: rkqJOy1y/JlXqVQJxVgWecBp/L9Lno2ODz/oJCO/RXNhv239Uew=28: Ordner: Spam29: Größe: 42 KB
Das ist der Text:
Was ich gefunden habe: einen Webshop mit dem namen Mall73, gibt es tatsächlich.Sehr geehrte Damen und Herren,
Besten Dank für Ihren Kauf bei Mall73, nachfolgend finden Sie Ihre Bezahbestätigung.
Deine Vertragsnummer: 158849547687
Artikel: DWL-ANTK240500 6083499685 5192,67 Euro
Rechnungsname: Wie in Rechnungsdaten dargestellt
Zahlungsmethode: Mastercard
Versandadresse und detaillierte Rechnung finden Sie aus Sicherheitsgründen in beigefügter Datei.
Die Zahlung wurde autorisiert und wird innerhalb 4 Tage entzogen.
Bezahleinzelheiten und Stornierung Hinweise finden Sie im zugefügtem Zip Ordner.
Ihr Kundenberater
Jäger GmbH
Billufer 11
77309 Keiserslauter
Telefon: (+49) 540 9302353
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Alsfeld
Umsatzsteuer-ID: DE393469115
Geschäftsfuehrer: ***
Jäger GmbH's gibts auch mehrere.
Von der Zip Datei werde ich gepflegt die Finger lassen.
Web.de erkennt aktuell die Mail als Spam, aber die Zipdatei, wird als sauber angezeigt.
Trotzdem sollte sich jeder Hütten das Teil zu öffnen.
Geändert von Mittwoch (18.05.2012 um 14:57 Uhr) Grund: anonymisiert, HEADER-Tg gesetzt
Heute hab ich eine Email mit einem Anhang "Mitgliedschaft.zip", die eine Datei "Mitgliedschaft Mai 2012.pif" enthält (weiter unten dann der Quelltext des Headers). Ich hab mich natürlich gehütet, die Datei zu öffnen, hab aber mit einem Viewer in die zip.-Datei geschaut. Im Quelltext hab ich meine persönlichen Infos mit "§" ersetzt.
Kennt das jemand?
Hier ein anderes Opfer mit ähnlichem Text:
[Link nur für registrierte Mitglieder sichtbar. ]
Hier der Originaltext meiner Mail:
Qeulltext:Guten Tag sehr geehrter Kunde,
Sie haben heute bei TrefflichTropfen die Premiummitgliedschaft gekauft. Die Zahlung in Höhe von 288,59 EUR wird in den kommenden Tagen von Ihrem Bankkonto entzogen.
Sie sind jetzt für die nachfolgenden 6 Monate Star-Kunde und können in vollem Umfang die Premiumleistungen nutzen.
Zahlungsdetails sind zwecks Vorsichtsmassnahmen laut dem §§ 3g, 5b BDSG, aus der beigefügter Datei zu konrollieren.
Die Kündigung der Extradienste, ist mit der in Beilage angefügten Stornierung an [Link nur für registrierte Mitglieder sichtbar. ] zu mailen.
Ihr Kundensupport
Lehmann GmbH
Blostwiete 09
67513 Kiel
Tel.: (+49) 305 72351917
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 9.00 bis 17.00 Uhr)
Ort: Aurich
Steuer-ID: DE976639447 Geschäftsfuehrer: ***
header:01: From - Fri May 18 xx:xx:xx 201202: X-Account-Key: account1003: X-UIDL: [UID filtered]04: X-Mozilla-Status: 000005: X-Mozilla-Status2: 0000000006: X-Mozilla-Keys:07:08: Return-Path: <svalderr [at] aecom.yu.edu>09: Delivery-Date: Fri, 18 May 2012 xx:xx:xx +020010: Received-SPF: pass (mxbap1: domain of aecom.yu.edu designates 129.98.1.51 as permitted11: sender) client-ip=129.98.1.51; envelope-from=svalderr [at] aecom.yu.edu; helo=mx1.aecom.yu.edu;12: Received: from mx1.aecom.yu.edu (mx1.aecom.yu.edu [129.98.1.51])13: by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis)14: ID: [ID filtered]15: Received: from draco.aecom.yu.edu (draco.aecom.yu.edu [129.98.1.160])16: by mx1.aecom.yu.edu (Postfix) with ESMTP ID: [ID filtered]17: for <§§§§§§§§§§§@§§§§§§.de>; Fri, 18 May 2012 xx:xx:xx -0400 (EDT)18: X-AuditID: [ID filtered]19: Received: from smtp2.aecom.yu.edu (smtp2.aecom.yu.edu [129.98.1.62])20: by draco.aecom.yu.edu (Symantec Mail Security) with ESMTP ID: [ID filtered]21: for <§§§§§§§§§§§@§§§§§§.de>; Fri, 18 May 2012 xx:xx:xx -0400 (EDT)22: Received: from server.KAMINASSOCIATES.LOCAL (adsl-074-165-000-251.sip.asm.bellsouth.net23: [74.165.0.251])24: (using TLSv1 with cipher RC4-MD5 (128/128 bits))25: (No client certificate requested)26: by smtp2.aecom.yu.edu (Postfix) with ESMTP ID: [ID filtered]27: for <§§§§§§§§§§§@§§§§§§.de>; Fri, 18 May 2012 xx:xx:xx -0400 (EDT)28: MIME-Version: 1.029: Date: Fri, 18 May 2012 xx:xx:xx -040030: X-Priority: 3 (Normal)31: X-Mailer: Apple Mail (2.552)32: Subject: Re: Registrierung Neuer Premiummitgliedschaft ID: [ID filtered]33: From: svalderr [at] aecom.yu.edu34: To: §§§§§§§§§§§@§§§§§§.de35: Content-Type: multipart/mixed;36: boundary="-----_chilkat_10b_ceb4_6b56bc0a.6864bc79_.MIX"37: Message-ID: [ID filtered]38: X-Brightmail-Tracker: AAAAAA==39: X-UI-Loop: V01:285lY/X20jY=:RVsTsqukg0YURt5ziWFYjiQwVBoaNYUrD1vHL2TWyPk=40: Envelope-To: §§§§§§§§§§§@§§§§§§.de41: X-Antivirus: avast! (VPS 120517-1, 17.05.2012), Inbound message42: X-Antivirus-Status: Clean43: This is a multi-part message in MIME format.
[Zweites Vollzitat des Mailtextes vom Moderator entfernt]
-------_chilkat_10b_ceb4_6b56bc0a.6864bc79_.MIX
Content-Type: application/zip;
name="Mitgliedschaft.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Mitgliedschaft.zip"
Geändert von Mittwoch (18.05.2012 um 14:56 Uhr) Grund: getackert, durch Tags etwas besser lesbar gestaltet, anonymisiert
Definitiv Virus, oder genauer gesagt Trojaner. Über die Masche gibt es bereits ein Thema, an das ich Deinen Beitrag gleich antackere.
Läuft bei Dir Windows? Wenn ja: Bitte trenne Deinen Computer umgehend vom Internet und prüfe Dein Betriebssystem auf Schädlinge. Die können sich auch einnisten, wenn man nur die ZIP-Datei öffnet. Ansonsten kannst Du alles Wichtige weiter oben in diesem Thema nachlesen.
Schönen Gruß
Mittwoch
Ja, ich hab Vista.
Der Virenscanner bemängelt auch den inhalt (Mitgliedschaft Mai 2012.pif) nicht...
Jetzt mach ich noch mit Hijackthis...
Gruß
Wolfgang
Ja, die feuern derzeit aus allen Rohren:
header:Die Absende-IP ist derzeit in 5 Blocklisten enthalten:01: Received: from gateway03.websitewelcome.com (EHLO gateway03.websitewelcome.com)02: [67.18.34.23]03: by mx0.gmx.net (mx059) with SMTP; 18 May 2012 xx:xx:xx +020004: Received: by gateway03.websitewelcome.com (Postfix, from userID: [ID filtered]05: ID: [ID filtered]06: Received: from gator717.hostgator.com (gator717.hostgator.com [174.132.170.98])07: by gateway03.websitewelcome.com (Postfix) with ESMTP ID: [ID filtered]08: for <x>; Fri, 18 May 2012 xx:xx:xx -0500 (CDT)09: Received: from [69.21.94.154] (port=28263 helo=SERVER.smallbusiness.local)10: by gator717.hostgator.com with esmtpsa (TLSv1:RC4-MD5:128)11: (Exim 4.69)12: (envelope-from <jeremy [at] make-penis-bigger-exercises.com>)13: ID: [ID filtered]
Code:cblless.anti-spam.org.cn (127.0.8.5) cblplus.anti-spam.org.cn (127.0.8.6) bl.nszones.com (127.0.0.2) list.quorum.to (127.0.0.2) Project Honeypot (127.73.13.1)
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
Sokath! His eyes uncovered!
@ truelife
Vielen Dank, truelife, ich habe mir die Downloadseite angschaut, die Du vorgeschlagen hast, aber bei meinen Kenntnissen habe ich da großes Bedenken, daß ich bei der Programmausführung vieles falsch machen könnte, es sind auch so viele Fachausdrücke für mich drin, sorry.
Ich hatte mal meinen Rechner mit dem Programm "spybot -search und destroy" durchsuchen lassen, der fand zwei Cookies bei den Internetbrowsern "Explorer und Chrom" - die habe ich gelöscht. Danach lief er im grünen Bereich. Ob diese Atkion ausgereicht hat?? Was meinst Du?
Vielen Dank für die Mühe,
Katzina
Geändert von Katzina (19.05.2012 um 00:41 Uhr) Grund: Ergänzung
Spybot S&D reicht net aus, die Anleitung von Hijackthis ist schon sehr verständlich und falsch machen kann man da wenig. Du kannst Dir von den Moderatoren bei protecus.de helfen lassen, melde Dich im Forum da an und gehe mit den Usern und Moderatoren die Anleitung durch. Ich spreche da aus eigenen Erfahrungen und Du kannst auch Deinen Rechner von einem Online-Scanner auf Viren und Malware prüfen lassen. Viele der grossen Hersteller haben auf ihren Websites Online-Scanner.
lG Gaia
Der Hijackthis hat mir keine weitern Erkenntnisse gebracht zu dem Thema, offenbar bin ich von einer Infektion verschont geblieben.
Interessieren tät mich, was das für ein Virus / Trojaner ist und was der macht. Den Anhang hab ich noch hier, wem könnte ich das zur Analyse schicken?
LG
Wolfgang
Lesezeichen