Habe ich einen Virus? (Unbekannte Emails kommen zurück)

4 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

Du schreibst, dass Du Outlook benutzt?

Im Header der verschickten Mail ist aber angegeben, dass sie mit Outlook Express verschickt wurde - das spricht für einen gefälschten Header, bei Outlook sähe der Header im unteren Teil völlig anders aus.

Was ist denn mit IP A? Warum hast Du die anonymisiert? Ist es die IP-Nummer, die Du gestern benutzt hast? Dann kam die Mail von Deinem Computer.

Eines aber verstehe ich nicht: Google beklagt sich, dass Du versucht hast, die Mail direkt bei ihrem Mailserver einzuliefern, statt dafür den Mailserver Deines Providers zu verwenden.
Andererseits wurde die Mail doch nicht bei google, sondern bei web.de eingeliefert, oder?

Vielleicht wäre es doch besser, wenn Du die IP-Nummern drin lässt (mir ist sowieso nicht klar, was eine Anonymisierung bringen soll) und wenn Du von den E-Mail-Adressen den Domain-Part (rechts vom "@") stehen lässt, damit man da besser durchblickt.

Deine Sorge wegen eines evtl. Virenbefalls finde ich jedenfalls berechtigt.

Das mit Outlook ist ein guter Punkt ist mir garnicht aufgefallen.

IP A und IP B sind einfach zwei verschiedene IPs. Ob ich die gestern benutzt habe weiß ich nicht.

Die Nachricht von google kam direkt auf mein web.de Konto (das nur indirekt mit Outlook verbunden ist).

So hier mal ohne strikte Anonymisierung

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address
failed:

"@gmail.com":
SMTP error from remote server after transfer of mail text:
host: alt1.gmail-smtp-in.l.google.com
5.7.1 [82.165.159.34] The IP you're using to send mail is not authorized to
5.7.1 send email directly to our servers. Please use the SMTP relay at your
5.7.1 service provider instead. Learn more at
5.7.1 <a href="http://support.google.com/mail/bin/answer.py?answer=10336" target="_blank">http://support.google.com/mail/bin/answer.py?answer=10336</a> ig6si539312lab.60


--- The header of the original message is following. ---

Received: from mbfbcnul ([113.240.220.125]) by smtp.web.de (mrweb003) with  ESMTPA (Nemesis) id 0MWBA1-1SrTSp3mS9-00XXX9 for <jna1965@gmail.com>; Thu, 18  Oct 2012 12:04:15 +0200
Message-ID: <FBED9E326A5436D5FA8B22F15F892A1B@mbfbcnul>
From: "YOYO"
To: <@gmail.com>
Subject: =?utf-8?B?4piFPFdPVyAkNTU9MzBLPuKYhTxEMyQ0?=
    =?utf-8?B?OT0xMDBNPuKYhVByb21pc2UgNW1pbg==?=
    =?utf-8?B?cyBkZWxpdmVyeSE0MzI=?=
Date: Thu, 18 Oct 2012 18:04:12 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0058_0153EF00.14AB6360"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
Sender: @web.de
X-Provags-ID: V02:K0:t9DWWy7V04ORZ5qRm2Vb7FpSr+a76itRPD38NXUSuQz
 Kl9QNNTn6AnvmcY33HcRqjvvnJ+NHKxTWZaDvOPqQIRxh3Qo2S
 dRBa8IgVzKx4sqZa3ZZiYZFenWcp8ESL9pg/xaMqk1TUtjWZ37
 fgh5c4A3IZ7xS9vQ6PHhvdGz2w5ETymsHxZfS3OaBTFlqFbEkw
 yiIjQMaX3LexGdPK5RX5g==

Beide IPs sind mit hoher Wahrscheinlichkeit nicht meine

0
@cannily

Das ist seltsam. Du schreibst "Erst habe ich vermutet, dass vielleicht mein Emailaccount gehackt wurde, deswegen habe ich das Passwort sehr sicher gemacht." - genau das wäre aber meine Vermutung: Dass Dein Account bei web.de gehackt wurde. Mein erster Ratschlag wäre daher, Dein Passwort bei web.de sofort zu ändern.
Das hast Du aber schon gemacht? Und danach wurden noch Spam-Mails verschickt? Hmm...hast Du mal Deinen web.de-Account gründlich überprüft? Wurde vielleicht eine neue Kontakt-E-Mail-Adresse eingetragen oder eine neue Handynummer? So dass der Spammer das geänderte Passwort sich über die "Passwort vergessen?"-Funktion immer gleich wieder mailen oder SMSen lassen kann? Hast Du auch die Sicherheitsabfrage geändert?

Es sieht nämlich wirklich so aus, als würde ein chinesischer Outlook-Express-Benutzer sich mit Deinen Benutzerdaten bei web.de einloggen und von Deinem Account aus E-Mails verschicken - die IP 113.240.220.125 gehört Chinanet Hunan:

|send spam reports to spam.szx[at]2118.com.cn
|and abuse reports to abuse.szx[at]2118.com.cn

Das muss der Chinese aber nicht bewusst machen, vielleicht ist er auch nur der ahnungslose Besitzer eines trojanerverseuchten PCs.

Was ich dabei nicht verstehe, sind zwei Dinge: Zum einen sagst Du, dass Du Dein Passwort bereits geändert hast und die Mails trotzdem verschickt werden - das dürfte in dem von mir angenommenen Fall eigentlich nicht sein: Der Mailversand müsste nach Passwortänderung sofort aufhören.
Zum anderen verstehe ich die Reaktion von google nicht: 82.165.159.34 ist die IP des Mailservers von web.de, wo die Mail ganz korrekt eingeliefert wurde. Warum weigert sich google, eine solche Mail aufgrund der verwendeten IP zu ihrem Empfänger weiterzubefördern?
Letzteres sollte jedenfalls nicht Dein Problem sein, das müssen web.de und google unter sich ausmachen.

Könntest Du vielleicht noch den Header einer weiteren von Deinem Account (aber nicht von Dir) verschickten Mail posten? Möglicherweise wird es dadurch klarer.

0
@heffenberg

Sicherheitsabfrage habe ich nicht geändert ist ein guter Punkt. Ich habe jetzt mal das Passwort wieder geändert + Sicherheitsfrage. Eine Kontaktemail oder Handynummer ist nicht eingetragen.

Das ist jetzt der Header von einer Email von Gestern Abend 20:43 (also nach 1. Änderung des PW)

--- The header of the original message is following. ---

Received: from pe ([113.240.220.125]) by smtp.web.de (mrweb001) with ESMTPA
 (Nemesis) id 0MINMF-1TT92k2Jmp-004Hca for <@gmail.com>; Fri, 19  Oct 2012 02:53:46 +0200
Message-ID: <8F46C56D58E71A76BAD386955BCC5765@pe>
From: "YOYO"
To: <@gmail.com>
Subject: =?utf-8?B?4piFWU9ZT+KYhTxXT1cgJDQ3PTMwSz7imIU=?=
    =?utf-8?B?PEQzJDQ1PTEwME0+4piFUHJvbWlzZQ==?=
    =?utf-8?B?IDVtaW5zIGRlbGl2ZXJ5ITU1NQ==?=
Date: Fri, 19 Oct 2012 08:53:43 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_05DD_016DAE7C.1A476400"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
Sender: @web.de
X-Provags-ID: V02:K0:iZLb1gg1DoeNPOuYDG4yE60PD4Nqvc0E5jCoUmg/ybq
 vq/n+/qhUIe/lniWSHZyK2w7TbohBKfNqSdVE1X8YXoWQvSaGw
 1NWxR0o13RlJxvqOWOSY2Qgk+Sk+ililBix1n9JIFu1daDcYb5
 sE684irPYXjKOobwMItekqFdPrsnu1cbITsrLx39F32tjOGmU+
 ewOdtVMdEn363kaS9n5Qw==
0
@cannily

Nein, die ist nicht von 20:43, sondern von Freitag, 02:53, mithin jetzt etwa 25 Stunden alt.

Falls Du gestern nach 2 Uhr 53 nachts das Passwort geändert hast und es danach keine Mails mehr gab, dann lag es tatsächlich daran, dass jemand das Passwort für Deinen Web.de-Account herausgefunden hatte. Dann kannst Du erstmal aufatmen, weil Dein PC wahrscheinlich nicht infiziert ist.

Die Mail wurde vom gleichen Chinesen bzw. über den gleichen chinesischen PC verschickt wie die andere: 113.240.220.125

China liegt weit östlich, deswegen ist es dort (im Osten geht ja die Sonne auf) schon später als hier, und zwar beim Absender 6 Stunden (bzw. 7, wenn man unsere Sommerzeit rausrechnet): Date: Fri, 19 Oct 2012 08:53:43 +0800

Diesmal war ein anderer der drei web.de-Server dran, die Mail anzunehmen: mrweb001.

Sag noch mal ganz genau: Wann hast Du Dein web.de-Passwort geändert? Wurde wirklich danach noch eine Mail über Dein web.de-Konto verschickt? Oder hast Du danach nur die Fehlermeldungen wg. Unzustellbarkeit bekommen?

0
@heffenberg

Das ist mal eine gute Nachricht, dass doch meine Account gehackt wurde anstatt ich mir einen Virus eingefangen habe :). Gestern Nacht habe ich das Passwort noch nicht geändert gehabt. Ich habe das Passwort so um etwa 14 Uhr gestern geändert, zeitgleich mit dem Erstellen dieser Frage.

Meine letzte Fehlermeldung kam jetzt um 3:46 rein mit

Date: Fri, 19 Oct 2012 08:15:57 +0800

Also wenn ich das richtig verstehe möglicherweise kurz vor der Passwort Änderung. Mal abwarten ob ich noch weitere Fehlermeldungen bekomme.

0

In der Fehlermeldung ist doch ein Link, hast du dir das schon durchgelesen? http://support.google.com/mail/bin/answer.py?hl=en&answer=10336 Das Problem liegt nicht bei deinem Rechner. Wende dich am besten an den jenigen, der dein Internet eingerichtet hat oder an deinen Internetanbieter.

Der Link geht ja davon aus, dass ich die emails geschrieben habe, was ich aber nicht tat - da liegt das Problem.

0

Lies doch einfach mal, was dort steht. Sieht aus, als ob deine SMTP-Einstellungen kaputt sind, ansonsten würde mir dazu auch nichts einfallen. Kannst ja nach der Fehlermeldung googlen. Btw. wenn du schon "zensierst", dann richtig, mrweb003 ;-)

mrweb003 sagt mir nichts, dachte das wäre eine verschlüsselte ID

0
@cannily

Das ist einfach der Name, den der Admin bei web.de einem seiner Server gegeben hat. Vermutlich verbergen sich hinter smtp.web.de drei Server, welche sich die Last teilen: Einer heisst mrweb001, einer mrweb002 und einer mrweb003.

0

Was möchtest Du wissen?