Verdächtige Mail

[perpetuum.mobile]

Im Junk Mail Ordner kommt seit drei Tagen eine Mail herein - "flinti@flintilive.ch" IP ist "213.165.80.13"

Im Anhang ist eine .zip Datei die ich nicht geöffnet habe. Im Text steht nur das die Mail vom Smartphone gesendet wurde. Habe jetzt den Absender blockiert, bei Google taucht die Adresse auf aber ich werde daraus nicht schlau???

 

[Kampfmelone]

die .zip mal bei virustotal hochladen bzw. mal in einer VM öffnen. Absender und IP können gefaked sein.

 

[perpetuum.mobile]

Danke. Ich habe die Mail geöffnet, nicht die Anhänge. Gerade eben gibt der Viren Scanner Alarm und meldet.:

Trojan.Win32.BHODfitTab.a unter dem Objekt: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\dt_ie.exe

Status Trojanisches Pferd [gelöscht] Programm: SetupInstall.exe Und ein rotes Ausrufungszeichen ! ASPack

Ich werde gleich alles Scannen mit Kaspersky und hier auch noch einmal danach! Was kann/muss ich beachten?

 

[Hezu]

Warum siegt eigentlich immer die Neugier über die Vernunft?

Wer verdächtige Mails bekommt, die einen auffordern einen unbekannten Anhang zu öffnen, der hat sein Hirn einzuschalten, nicht seinen Sinn für Neugier.
Manche scheinen mit sehendem Auge ins offene Messer laufen zu wollen, nur um zu sehen, wie sich der Schmerz anfühlt.

Hast du von der Adresse schon mal gehört? Nein -> Ablage P und Spammeldung.
Bekamst du eine Rechnung für etwas, was du nie bestellt hast oder bestellen würdest? Nein -> Ablage P und Spammeldung.
Hast du ganz plötzlich ne Million gewonnen oder groß von ner unbekannten Tante deines Schwipschwagers Tochter Mütterlicherseits, dessen Großmutters Cusine viel Geld von ihrem dritten Nachbarn von Rechts aus der Grundschule geklaut hat, geerbt? Nein -> Ablage P und Spammeldung.
Und solltest du von einem Bekannten eine Mail mit solchen Archiven bekommen, der nicht dafür bekannt ist, sowas rumzuschicken, frag beim Bekannten einfach mal nach.

Von wo die Adresse kam, ist irrelevant, im Regelfall sind die sowieso gefälscht. In der Onlineansicht kann man oft den Quelltext der Mail anschauen, dort ist meist dann auch zu sehen, wo die Mail abgesendet wurde und das das selten vom Server des eingetragenen Absenders kam.

Das was du jetzt machst, ist schon mal nicht schlecht, noch mal durchscannen und schauen, das nicht doch was durchgekommen ist, auch wenn´s unwahrscheinlich ist. Ansonsten schau hier mal vorbei.

 

[gelöschter Benutzer]

ich versuche mir gerade auszumalen wie es hier im Forenbereich aussehen würde wenn jeder der ne spammail bekommen hat nen thread eröffnet

@perpetuum.mobile

du musst da schon was geöffnet haben denke ich, sonst würdest du gar keine Warnung erhalten.
bzw. ne Warnung dass da was faul ist in der Datei vielleicht schon. Aber die wäre dann nicht in deinem AppData\Roaming\defaulttab\defaulttab Ordner denke ich...

 

[Kenobi van Gin]

Also mich hat grade auch irritiert, warum der Scanner exe- und Setup-Dateien löscht, wenn du angeblich nur die Mail geöffnet hast. Du sprichst von einem angehängten Zip-Archiv. Und wie sollen die besagten exe-Dateien da rausgekommen sein, wenn du das Archiv nicht geöffnet/entpackt hast?

Ich würde mal an einem anderen Rechner z.B. das Avira Rescue System runterladen und brennen und damit den Rechner scannen. Die Software tut das nämlich sozusagen offline, also von einem anderen Betriebssystem (Linux) aus. Das hat den Vorteil, dass die ggf. installierte Schadsoftware in dem Augenblick nicht aktiv sein kann und insofern auch keine Maßnahmen ergreifen kann, sich selbst vor dem Scanner zu verstecken.

 

[perpetuum.mobile]

Danke. Ich habe gestern noch den EU Cleaner von Avira scannen lassen, außerdem Online mit ESET danach Malwarebytes geladen und abgescannt. Heute nochmal Kaspersky und SpyBot. HijackThis zeigt ebenfalls keine Auffälligkeiten. HitmanPro ist jetzt im Browser zum Schutz, außerdem habe ich jetzt noch NoScript installiert.

Ich habe die Mail im Junk Ordner geöffnet, die Anhänge sind dort deaktiviert bis ich die freigebe, was ich nicht gemacht habe. Unter C: tauchte der "dt_ie.exe" zweimal auf und wurde durch Kaspersky in die Quarantäne verschoben wo ich das später gelöscht habe. Kann sein das dies auch nichts mit der Mail zu schaffen hatte. Ich werde gleich noch einmal mit virustotal scannen, mehr geht wohl zur Zeit nicht. Ich beobachte das weiter und scanne regelmäßig - auch online. Danke.

 

[gelöschter Benutzer]

eben. Die Datei wird von irgendwo her kommen aber nicht aus der Mail.

 

[accC]

Zu der IP:
IP Address 213.165.80.13
Base Domain onlinehome-server.info

Da es sich um einen Server bei 1und1 handelt, melde das Problem bitte an 1und1. Der Mailserver scheint zumindest kein offenes Relay zu sein. (mxtoolbox.com)

Hier stehen die Informationen um mit 1und1 wahlweise per Telefon oder Email Kontakt aufzunehmen. Eine eigene Kontaktadresse um Missbrauch von Servern zu melden, scheint es wohl nicht direkt auf der Homepage zu geben.
Wichtig wäre, dass du mitteilst, um welche IP Adresse es sich handelt, dass und wann (wenigstens von ein paar Mails solltest du die Uhrzeiten angeben können) du Spam-Mails mit Trojaner/Virus im Anhang (als zip-Datei) erhalten hast.


Zu der Domain:
Die Domain flintilive.ch sollte übrigens überhaupt nicht registriert sein.

 

[Kenobi van Gin]

mehr geht wohl zur Zeit nicht

Doch. Du könntest den Rechner offline durch ein Rescue System scannen lassen, das du an einem anderen Rechner runtergeladen und gebrannt hast. Einen Scanner zu installieren und damit zu scannen macht im Nachhinein nicht viel Sinn, weil die potentiell bereits installierte Malware solcherlei Scanner außer Kraft setzen bzw. überlisten kann.

Wenn die besagten Dateien tatsächlich nicht aus der Mail stammen, also offenbar schon länger unerkannt auf dem Rechner gelegen haben, solltest du dem Gerät aber sowieso nicht mehr vertrauen. Dann kann inzwischen sonstwas nach installiert worden sein, das du möglicherweise mit deinen Scannern nicht findest.
Siehe dazu auch Punkt 3.4.1 des bereits von Hezu verlinkten Leitfadens.