Habe ich einen Virus? (Unbekannte Emails kommen zurück)

4 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

Du schreibst, dass Du Outlook benutzt?

Im Header der verschickten Mail ist aber angegeben, dass sie mit Outlook Express verschickt wurde - das spricht für einen gefälschten Header, bei Outlook sähe der Header im unteren Teil völlig anders aus.

Was ist denn mit IP A? Warum hast Du die anonymisiert? Ist es die IP-Nummer, die Du gestern benutzt hast? Dann kam die Mail von Deinem Computer.

Eines aber verstehe ich nicht: Google beklagt sich, dass Du versucht hast, die Mail direkt bei ihrem Mailserver einzuliefern, statt dafür den Mailserver Deines Providers zu verwenden.
Andererseits wurde die Mail doch nicht bei google, sondern bei web.de eingeliefert, oder?

Vielleicht wäre es doch besser, wenn Du die IP-Nummern drin lässt (mir ist sowieso nicht klar, was eine Anonymisierung bringen soll) und wenn Du von den E-Mail-Adressen den Domain-Part (rechts vom "@") stehen lässt, damit man da besser durchblickt.

Deine Sorge wegen eines evtl. Virenbefalls finde ich jedenfalls berechtigt.

Das mit Outlook ist ein guter Punkt ist mir garnicht aufgefallen.

IP A und IP B sind einfach zwei verschiedene IPs. Ob ich die gestern benutzt habe weiß ich nicht.

Die Nachricht von google kam direkt auf mein web.de Konto (das nur indirekt mit Outlook verbunden ist).

So hier mal ohne strikte Anonymisierung

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address
failed:

"@gmail.com":
SMTP error from remote server after transfer of mail text:
host: alt1.gmail-smtp-in.l.google.com
5.7.1 [82.165.159.34] The IP you're using to send mail is not authorized to
5.7.1 send email directly to our servers. Please use the SMTP relay at your
5.7.1 service provider instead. Learn more at
5.7.1 <a href="http://support.google.com/mail/bin/answer.py?answer=10336" target="_blank">http://support.google.com/mail/bin/answer.py?answer=10336</a> ig6si539312lab.60


--- The header of the original message is following. ---

Received: from mbfbcnul ([113.240.220.125]) by smtp.web.de (mrweb003) with  ESMTPA (Nemesis) id 0MWBA1-1SrTSp3mS9-00XXX9 for <jna1965@gmail.com>; Thu, 18  Oct 2012 12:04:15 +0200
Message-ID: <FBED9E326A5436D5FA8B22F15F892A1B@mbfbcnul>
From: "YOYO"
To: <@gmail.com>
Subject: =?utf-8?B?4piFPFdPVyAkNTU9MzBLPuKYhTxEMyQ0?=
    =?utf-8?B?OT0xMDBNPuKYhVByb21pc2UgNW1pbg==?=
    =?utf-8?B?cyBkZWxpdmVyeSE0MzI=?=
Date: Thu, 18 Oct 2012 18:04:12 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0058_0153EF00.14AB6360"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
Sender: @web.de
X-Provags-ID: V02:K0:t9DWWy7V04ORZ5qRm2Vb7FpSr+a76itRPD38NXUSuQz
 Kl9QNNTn6AnvmcY33HcRqjvvnJ+NHKxTWZaDvOPqQIRxh3Qo2S
 dRBa8IgVzKx4sqZa3ZZiYZFenWcp8ESL9pg/xaMqk1TUtjWZ37
 fgh5c4A3IZ7xS9vQ6PHhvdGz2w5ETymsHxZfS3OaBTFlqFbEkw
 yiIjQMaX3LexGdPK5RX5g==

Beide IPs sind mit hoher Wahrscheinlichkeit nicht meine

0
@cannily

Das ist seltsam. Du schreibst "Erst habe ich vermutet, dass vielleicht mein Emailaccount gehackt wurde, deswegen habe ich das Passwort sehr sicher gemacht." - genau das wäre aber meine Vermutung: Dass Dein Account bei web.de gehackt wurde. Mein erster Ratschlag wäre daher, Dein Passwort bei web.de sofort zu ändern.
Das hast Du aber schon gemacht? Und danach wurden noch Spam-Mails verschickt? Hmm...hast Du mal Deinen web.de-Account gründlich überprüft? Wurde vielleicht eine neue Kontakt-E-Mail-Adresse eingetragen oder eine neue Handynummer? So dass der Spammer das geänderte Passwort sich über die "Passwort vergessen?"-Funktion immer gleich wieder mailen oder SMSen lassen kann? Hast Du auch die Sicherheitsabfrage geändert?

Es sieht nämlich wirklich so aus, als würde ein chinesischer Outlook-Express-Benutzer sich mit Deinen Benutzerdaten bei web.de einloggen und von Deinem Account aus E-Mails verschicken - die IP 113.240.220.125 gehört Chinanet Hunan:

|send spam reports to spam.szx[at]2118.com.cn
|and abuse reports to abuse.szx[at]2118.com.cn

Das muss der Chinese aber nicht bewusst machen, vielleicht ist er auch nur der ahnungslose Besitzer eines trojanerverseuchten PCs.

Was ich dabei nicht verstehe, sind zwei Dinge: Zum einen sagst Du, dass Du Dein Passwort bereits geändert hast und die Mails trotzdem verschickt werden - das dürfte in dem von mir angenommenen Fall eigentlich nicht sein: Der Mailversand müsste nach Passwortänderung sofort aufhören.
Zum anderen verstehe ich die Reaktion von google nicht: 82.165.159.34 ist die IP des Mailservers von web.de, wo die Mail ganz korrekt eingeliefert wurde. Warum weigert sich google, eine solche Mail aufgrund der verwendeten IP zu ihrem Empfänger weiterzubefördern?
Letzteres sollte jedenfalls nicht Dein Problem sein, das müssen web.de und google unter sich ausmachen.

Könntest Du vielleicht noch den Header einer weiteren von Deinem Account (aber nicht von Dir) verschickten Mail posten? Möglicherweise wird es dadurch klarer.

0
@heffenberg

Sicherheitsabfrage habe ich nicht geändert ist ein guter Punkt. Ich habe jetzt mal das Passwort wieder geändert + Sicherheitsfrage. Eine Kontaktemail oder Handynummer ist nicht eingetragen.

Das ist jetzt der Header von einer Email von Gestern Abend 20:43 (also nach 1. Änderung des PW)

--- The header of the original message is following. ---

Received: from pe ([113.240.220.125]) by smtp.web.de (mrweb001) with ESMTPA
 (Nemesis) id 0MINMF-1TT92k2Jmp-004Hca for <@gmail.com>; Fri, 19  Oct 2012 02:53:46 +0200
Message-ID: <8F46C56D58E71A76BAD386955BCC5765@pe>
From: "YOYO"
To: <@gmail.com>
Subject: =?utf-8?B?4piFWU9ZT+KYhTxXT1cgJDQ3PTMwSz7imIU=?=
    =?utf-8?B?PEQzJDQ1PTEwME0+4piFUHJvbWlzZQ==?=
    =?utf-8?B?IDVtaW5zIGRlbGl2ZXJ5ITU1NQ==?=
Date: Fri, 19 Oct 2012 08:53:43 +0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_05DD_016DAE7C.1A476400"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
Sender: @web.de
X-Provags-ID: V02:K0:iZLb1gg1DoeNPOuYDG4yE60PD4Nqvc0E5jCoUmg/ybq
 vq/n+/qhUIe/lniWSHZyK2w7TbohBKfNqSdVE1X8YXoWQvSaGw
 1NWxR0o13RlJxvqOWOSY2Qgk+Sk+ililBix1n9JIFu1daDcYb5
 sE684irPYXjKOobwMItekqFdPrsnu1cbITsrLx39F32tjOGmU+
 ewOdtVMdEn363kaS9n5Qw==
0
@cannily

Nein, die ist nicht von 20:43, sondern von Freitag, 02:53, mithin jetzt etwa 25 Stunden alt.

Falls Du gestern nach 2 Uhr 53 nachts das Passwort geändert hast und es danach keine Mails mehr gab, dann lag es tatsächlich daran, dass jemand das Passwort für Deinen Web.de-Account herausgefunden hatte. Dann kannst Du erstmal aufatmen, weil Dein PC wahrscheinlich nicht infiziert ist.

Die Mail wurde vom gleichen Chinesen bzw. über den gleichen chinesischen PC verschickt wie die andere: 113.240.220.125

China liegt weit östlich, deswegen ist es dort (im Osten geht ja die Sonne auf) schon später als hier, und zwar beim Absender 6 Stunden (bzw. 7, wenn man unsere Sommerzeit rausrechnet): Date: Fri, 19 Oct 2012 08:53:43 +0800

Diesmal war ein anderer der drei web.de-Server dran, die Mail anzunehmen: mrweb001.

Sag noch mal ganz genau: Wann hast Du Dein web.de-Passwort geändert? Wurde wirklich danach noch eine Mail über Dein web.de-Konto verschickt? Oder hast Du danach nur die Fehlermeldungen wg. Unzustellbarkeit bekommen?

0
@heffenberg

Das ist mal eine gute Nachricht, dass doch meine Account gehackt wurde anstatt ich mir einen Virus eingefangen habe :). Gestern Nacht habe ich das Passwort noch nicht geändert gehabt. Ich habe das Passwort so um etwa 14 Uhr gestern geändert, zeitgleich mit dem Erstellen dieser Frage.

Meine letzte Fehlermeldung kam jetzt um 3:46 rein mit

Date: Fri, 19 Oct 2012 08:15:57 +0800

Also wenn ich das richtig verstehe möglicherweise kurz vor der Passwort Änderung. Mal abwarten ob ich noch weitere Fehlermeldungen bekomme.

0

In der Fehlermeldung ist doch ein Link, hast du dir das schon durchgelesen? http://support.google.com/mail/bin/answer.py?hl=en&answer=10336 Das Problem liegt nicht bei deinem Rechner. Wende dich am besten an den jenigen, der dein Internet eingerichtet hat oder an deinen Internetanbieter.

Der Link geht ja davon aus, dass ich die emails geschrieben habe, was ich aber nicht tat - da liegt das Problem.

0

Lies doch einfach mal, was dort steht. Sieht aus, als ob deine SMTP-Einstellungen kaputt sind, ansonsten würde mir dazu auch nichts einfallen. Kannst ja nach der Fehlermeldung googlen. Btw. wenn du schon "zensierst", dann richtig, mrweb003 ;-)

mrweb003 sagt mir nichts, dachte das wäre eine verschlüsselte ID

0
@cannily

Das ist einfach der Name, den der Admin bei web.de einem seiner Server gegeben hat. Vermutlich verbergen sich hinter smtp.web.de drei Server, welche sich die Last teilen: Einer heisst mrweb001, einer mrweb002 und einer mrweb003.

0

Outlook Ordner -> Alle eMail Adressen listen?

Hallo zusammen,

ich habe einen Verteiler, bei dem täglich viele eMails eintreffen. Die eMails landen alle in einem Outlook Ordner bei mir. Jetzt möchte ich alle die mich auf dieser eMail Adresse anmailen eine Info senden.

Kennt jemand eine Möglichkeit den alle eMail Absender Adressen der eMails im Outlook Ordner auszugeben?

Für Hinweise bin ich dankbar, viele Grüße!

...zur Frage

Email versand (Outlook) funktioniert nicht?

Hallo zusammen!

Ich habe auf mehreren Rechnern Outlook für meine 1und1 Email-Adresse eingerichtet.

Komischerweise funktioniert der Emailversand an nur einem Rechner nicht.

Die Einstellungen des SMTP sind identisch wie bei den anderen, die Einstellung auch (Ports, Anmeldungseinstellung etc). Rein kommen Emails - einen Tippfehler bei den Daten kann ich also ausschließen (hab ich aber trotzdem probiert).

Generell ist der Rechner auch fähig Emails per Outlook zu versenden - bei einem anderen Nutzer funktioniert es einwandfrei. Der Postausgang ist auch nicht verstopft.

Habt ihr irgendeine Idee, woran das liegen kann?

...zur Frage

Blueborne Virus noch Aktiv?

Hallo Community

Es gab doch ne menge aufstand wegen dem Blueborne Virus der sich über Bluetooth verbreitet und seine daten ausspioniert. Es hat geheissen es wird daran gearbeitet für alle bluetooth fähigen geräte ein update zu machen damit der virus nichtmehr verbreitet werden kann. Aber ich finde keine aktuellen news. Ist die virus welle vorbei? Kann ich wieder Sorglos auf meinem android handy das bluetooth einschalten?

Danke im voraus

  • Hundekuchen
...zur Frage

mein email postfach spinnt?

ich wollte ein Bewerbungsschreiben abschicken und meine email anbieter schickt mir diese Nachricht was bedeutet das jetzt? ist die email nicht abgeschickt?

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:

bewerbungen@weststadt-akademie.de: SMTP error from remote server for RCPT TO command, host: mx01.schlund.de (217.72.192.67) reason: 550 Requested action not taken: mailbox unavailable

...zur Frage

web.de spam mail. Bitte helfen!

Hallo, ich bekomme ständig eine Mail. Die kommt meist minütlich. z.B. um 13.36 dann um 13.48Uhr. Jeden Tag habe ich mindestens 20 von den Mails.

Drin steht das hier:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address failed:

"susan_spillane@yahoo.de": SMTP error from remote server in greeting: host: mx-eu.mail.am0.yahoodns.net: 5.7.1 [BL21] Connections will not be accepted from 82.165.159.35, because the ip is in Spamhaus's list; see http://postmaster.yahoo.com/550-bl23.html

--- The header of the original message is following. ---

Received: from spc-w-092 ([194.6.180.2]) by smtp.web.de (mrweb001) with ESMTPSA (Nemesis) id 0LwZA7-1UrG3T2h1b-018KOl for =?utf-8?q?<susan=5fspil?= =?utf-8?q?lane@yahoo.de>;?= Wed, 06 Mar 2013 12:43:22 +0100 From: jenny.engler2@web.de To: "=?utf-8?q?Susan W=C3=B6hler?=" susan_spillane@yahoo.de Subject: =?utf-8?q?Susan W=C3=B6hler Ihre Groupon GmbH Abrechnung 3559969?= Date: Wed, 6 Mar 2013 11:42:52 GMT MIME-Version: 1.0 X-Mailer: Microsoft Outlook Express 6.00.2800.1106 X-Priority: 3 Content-Type: multipart/mixed; boundary="=-XCED0F113D" Message-ID: 0LgpYk-1UXfw42rf4-00oCBC@smtp.web.de X-Provags-ID: V02:K0:qFSwrIm1Avusd5fOuc8MB1e4N5FO5otTmnrYUWmpx4A v897Gq3UAlWzWGvTRjnXXFn/3IOy6/IIFCH8WQi/DaPzPFFERL H4X0HFUR3WG28Of8mc2c6I05YmZMVG3kXOvyuqBaLx05Vz6OBY 4REA1ZJY0Szjsxyd3pZ5cbiCtk+YYefS0QoKOWIkmsg9JxFXNI 4DV4pydaILz0WWxH1NtQg==

Dabei habe ich nie eine Mail geschrieben.

Könnt ihr mir helfen?

...zur Frage

Spam-Mails von MAILER-DAEMON@mail.artfiles.de

Guten Tag, ich kriege seit kurzem andauernd Spam-Mails von MAILER-DAEMON@mail.artfiles.de.

Wenn ich eine Nachricht verschicke, kommen gleich 3 Stück von denen. Ich habe es auch mal direkt ausprobiert, eine Mail an meine Firmen-Email-Adresse zu schreiben, was auch geklappt hat, dann habe ich aber selbst die Email von MAILER-DAEMON@mail.artfiles.de bekommen.

Wir in der Firma benutzen Outlook und haben unsere eigenen Email-Adressen und es ist nervig wenn wir ständig diese Mails bekommen und sogar die Leute bekommen, die uns Mails schicken. Was dazu noch kommt ist, dass auch seit kurzem Lesebestätigungen kommen, obwohl ich die Mail selbst verschickt habe.

Die Mails von MAILER-DAEMON@mail.artfiles.de habe ich schon per Norton und Outlook geblockt, d.h. dass sie direkt in den "Gelöschte Elemente" Ordner kommen. Es ist trotzdem nervig, dass der Papierkorb dann nach kurzer Zeit total voll ist und das ich weiß, dass andere diese Mails wegen mir auch bekommen!

Meine Frage:

Kann man diesen MAILER-DAEMON@mail.artfiles.de Wurm entfernen? Habe nämlich nachgelesen, dass es ein Wurm sein soll.

Ich freue mich auf positive Antworten! :-)

Lg, Djole

PS: Das steht immer in der Email von dem Mailer-Daemon:

" Hi. This is the qmail-send program at mail.artfiles.de. I'm afraid I wasn't able to deliver your message to the following addresses. This is a permanent error; I've given up. Sorry it didn't work out.

<Emailadresse@.de>: This message is looping: it already has my Delivered-To line. (#5.4.6)

--- Below this line is a copy of the message.

Return-Path: Received: (qmail 23718 invoked by uid 508); 14 Aug 2012 13:21:47 -0000 Delivered-To: "Email-Adresse"@fwfwefwf.de "

(Email-Adressen habe ich natürlich so gesagt "zensiert" :-) ) Und unter "below this line ...." steht natürlich noch viel viel mehr.

...zur Frage

Was möchtest Du wissen?