Wie kann das sein - Mail von mir selbst bekommen

Hallo zusammen,

ich habe heute etwas sehr merkwürdiges bemerkt:

Ich habe zwei E-Mail Konten, eines bei web.de das zweite bei hotmail, beide haben meinen Namen vor dem @.

Heute habe ich bei web.de eine Nachricht von meinem Account bei hotmail, ohne Text aber mit Anhang (7.zip - Größe 16 kb).
Die Virenprüfung von web.de zeigt keinen Virus an,
ich habe jedoch niemals eine solche Mail an mich geschickt.
Bei Hotmail war auch keine solche Mail im
„Gesendete Nachrichten“ Ordner, auch habe ich die Mail Adresse bei Hotmail nicht als Alternativ-Adresse angegeben.
Ich nutze meine Mail-Adressen auch nicht für unseriösen Quatsch, nur für Bekannte und Familie.

Was kann das sein ?
Ich habe einen sehr komplizierten aussergewöhnlichen Nachnamen, eine zufällig gesendete Spam-Mail kann es nicht sein.

Kann ich den Anhang (ich habe ihn bereits mit Ziel speichern unter heruntergeladen) öffnen oder zumindest extrahieren?

Und die wichtigste Frage:
Kann es sein dass andere Kontakte von meinem Account aus das selbe bekommen haben ?

Vielen Dank und besorgte Grüsse,
midnightfever

Hallo midnightfever

Was kann das sein ?

Ich würde mal einen Mailwurm vermuten. Wenn der Rechner XY von einem Mailwurm befallen wird, dann durchsucht der Wurm eine Menge Dateien nach Email-Adressen. Da muss nur Deine Adresse zufällig irgendwo auf jenem Rechner sein, schon kann sie der Wurm verwenden. Die gefundenen Adressen nutzt er sowohl als Empfänger, als auch als Absender.

Es mag einigermassen unwahrscheinlich sein, aber nicht unmöglich, dass dann rein zufällig Deine eine Email-Adresse als Absender, die andere als Empfänger in einem solchen Mail landet.

Kann ich den Anhang (ich habe ihn bereits mit Ziel speichern
unter heruntergeladen) öffnen oder zumindest extrahieren?

Extrahieren ja. Öffnen nein. Aber wenn Du ihn extrahiert hast, kannst Du ihn manuell mit Deinem Antivirentool prüfen. Ausserdem könntest Du ihn bei http://www.virustotal.com/flash/index_en.html einwerfen, dann wird die Datei mit ca. 15 Antivirentools geprüft.

CU
Peter

Neue Information
Hallo nochmal,

ich habe den Zip-Ordner bei http://virusscan.jotti.org/de/ prüfen lassen, das Ergebnis lautet wie folgt.
Bleibt dann nur noch die letzte Frage übrig:
Kann es sein, dass ich unfreiwillig zum Spam-Versender an meine Kontakte und Fremde werde ??

Vielen Dank nochmal !
midnightfever

AntiVir TR/Dldr.Bagle.BH.1 gefunden
Avast Win32:Beagle-BJ gefunden
AVG Antivirus I-Worm/Bagle gefunden
BitDefender Win32.Bagle.BJ@mm gefunden
ClamAV Worm.Bagle.BB-gen gefunden
Dr.Web Win32.HLLM.Beagle.37888 gefunden
F-Prot Antivirus W32/Mitglieder.CI gefunden
Fortinet W32/Mitglieder.CJ-dldr gefunden
Kaspersky Anti-Virus Email-Worm.Win32.Bagle.bj gefunden
mks_vir Worm.Beagle.AV gefunden
NOD32 Win32/TrojanDownloader.Small.ZL gefunden
Norman Virus Control Sandbox: W32/Downloader; [General information]

* Creating several executable files on hard-drive.
* File length: 37920 bytes.

[Changes to filesystem]
* Creates file C:\WINDOWS\TEMP~8089.txt.
* Creates file C:\WINDOWS\TEMP~8899.exe.
* Creates file C:\WINDOWS\SYSTEM\winshost.exe.
* Creates file C:\WINDOWS\SYSTEM\wiwshost.exe.
* Creates file C:\WINDOWS\SYSTEM\drivers\etc\hosts.
* Deletes file C:\WINDOWS\ile.exe.
* Creates file C:\WINDOWS\ile.exe.

[Changes to registry]
* Creates value „winshost.exe“=„C:\WINDOWS\SYSTEM\winshost.exe“ in key „HKCU\Software\Microsoft\Windows\CurrentVersion\Run“.
* Creates value „winshost.exe“=„C:\WINDOWS\SYSTEM\winshost.exe“ in key „HKLM\Software\Microsoft\Windows\CurrentVersion\Run“.

[Network services]
* Looks for an Internet connection.
* Downloads file from http://www.yannick-spruyt.be/osa.gif as C:\WINDOWS\ile.exe.

[Security issues]
* Starting downloaded file - potential security problem.

[Process/window information]
* Attemps to NULL C:\WINDOWS\TEMP~8089.txt NULL.
* Attemps to NULL C:\WINDOWS\TEMP~8899.exe NULL.
* Will automatically restart after boot (I’ll be back…).
* Enumerates running processes.
* Attemps to open C:\WINDOWS\ile.exe NULL. gefunden
VBA32 Email-Worm.Win32.Bagle.pac gefunden

Emailadressen lassen sich leicht fälschen. Ein beliebter Trick von Angreifern ist es, Mails mit der Absenderadresse an die Adresse des Absenders zu schicken. Dieser wird dann stutzig und öffnet den anhang: Voila!

Der Hinweis auf Bagle/Beagle ist allerdings eindeutig: du hast einen Backdoortrojaner auf deinem System. Google mal mit dem Begriff und du wirst sehen, was das für ein übler Konsorte ist!

Ich würde folgendes Standardprozedere zum Beseitigen des Schädlings vorschlagen (tendiere aber eher zum Neuaufsetzen):

Keiner der am Markt angebotenen Virenscanner ist perfekt. Es ist deshalb eine gute Idee mit einem zweiten oder dritten Antivirenprogramm zu scannen. Sehr leistungsfähige (kostenlose) Virenscanner sind escan (Kaspersky Engine) und BitdefenderFree.

Da aber alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Spyware- und Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft). Für alle eingesetzten Programme gilt: Vor dem Einsatz aktualisieren (updaten)!

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung (nur Windows XP) deaktivieren und im abgesicherten Modus booten. Nochmal Virenscanner, Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf meiner Webpage http://www.comsafe.de

Hallo big_surfer,

vielen Dank für deine Antwort und die ausführliche Anleitung!
Eine Frage hätte ich noch zum Verständnis:

Du schreibst

Du solltest dir aber mal grundlegende Gedanken machen, warum
du den Schädling bekommen hast und entsprechende
Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Habe ich tatsächlich etwas falsch gemacht, ich habe den Virus/Trojaner als E-Mail Anhang von meinem anderen Freemail-Account bekommen und hatte eigentlich keine Möglichkeit, das zu beeinflussen, oder ?

Vielen Dank nochmals und Grüsse,
midnightfever

Doch, mißtrauisch gegen Email Anhänge sein! Was nicht explizit angekündigt wurde, immer löschen. Viele Schädlinge verbreiten sich nun einmal über Emailanhänge. Und den Trojaner kannst du dir auch über ein sogenanntens „nützliches“ Programm oder einen Exploit deines Systems eingefangen haben. Lies dich mal in meine Webseite ein, da wird der Zusammenhang genauer erklärt!

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hallo Big Surfer

Der Hinweis auf Bagle/Beagle ist allerdings eindeutig: du hast
einen Backdoortrojaner auf deinem System. Google mal mit dem
Begriff und du wirst sehen, was das für ein übler Konsorte
ist!

Einspruch. Ja, er hat Bagle. Allerdings ist sein System nicht infiziert. Er hat eine Email erhalten, die ein Attachment mitbrachte. Dieses hat er nun entpackt und die enthaltene Datei auf der Seite, deren Link er genannt hat, prüfen lassen. Und dort wurde dann festgestellt, dass die Datei Bagle enthält.

Kein Wort oder Hinweis darauf, dass er die Datei ausgeführt hat.

Ich würde folgendes Standardprozedere zum Beseitigen des
Schädlings vorschlagen (tendiere aber eher zum Neuaufsetzen):

Ich würde vorschlagen, dass Du den Ursprungsbeitrag, meine Antwort und den Beitrag, auf den Du hier geantwortet hast, noch einmal aufmerksam durchliest und Dir dann überlegst, wie Du zu dem Schluss gekommen bist, dass sein System von Bagle infiziert sein könnte.

Du solltest dir aber mal grundlegende Gedanken machen, warum
du den Schädling bekommen hast und entsprechende
Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Dass man wurmverseuchte Mails bekommt, kann man nicht wirklich vermeiden. Und solange man die fraglichen Attachments nicht ausführt, ist das auch kein Problem. Du kannst Dir die Festplatte mit Würmern füllen, wenn Du Lust hast. Wichtig ist, dass die Dinger nicht ausgeführt werden.

BTW: Du setzt IMHO die Werbung für Deine eigene Webseite etwas zu häufig…

CU
Peter