Irgendwas will mails versenden

#16 @fahrradkette

nein es ist nicht der big@boss Virus. FP wurde mit Norton, Kaspersky und F-Prot gescannt. Ich bin virenfrei.

Das Problem ist laut meinem ISP Norton selbst. Durch die Emailprüfung für ausgehende mails ist der Port 25 weit offen. Habe diese Prüfung jetzt ausgeschaltet und bis jetzt ist Ruhe. Habe jetzt Outpost installiert und warte ab.

Meine Domains wurden nicht gekapert, mein ISP hat ein Auge darauf. Es betrifft auch nicht all meine Emailaccounts, sondern nur einen.
__________
Lebe nie schneller als dein Schutzengel fliegen kann.

#17 Hallo,

ich kann mir nicht vorstellen, daß Norton versucht Mails zu versenden. Es werden ja definitiv Mailadressen in den Fehlermeldungen genannt.(wahrscheinlich liest irgendetwas Die Festplatte ab abgelegten Mailadressen aus (z.B. temporäre html Dateien).

Ob das wirklich W32/Sobig (auch big@boss genannt) ist, läßt sich wohl schwer sagen. Es ist aber wenn, dann sicherlich ein Internet-Mail Wurm. Und zwar einer, der eine eigene SMTP Engine hat. Es könnte also auch W32/Yaha oder noch wahrscheinlicher der W32/Klez.H Virus sein (aufgrund der hohen Verbreitungszahl).

Hattest Du die jeweils aktuellsten Virenpattern benutzt (eventuell ist es auch eine neue Variante eines der o.g. Viren - Yaha.P z.B.)

Gruß
Bob

#18 Ja,

überall die neuesten Updates. Die Tempdateien werden regelmässig gelöscht. Norton selbst will ja auch nicht versenden. Er sagt mir nur, daß die mails nicht versendet werden können. das ganze tritt ja auch nicht laufend auf. Heute waren es bis jetzt nur 5 Fenster die aufgingen. Gestern innerhalb einer halben Stunde bestimmt 50. Dann ist plötzlich schlagartig wieder still.

Womit soll ich denn noch scannen....ich werd bald doof......
__________
Lebe nie schneller als dein Schutzengel fliegen kann.

#19 Versuch noch ein paar Online-Scanner:
http://de.trendmicro-europe.com/enterprise/products/housecall.php
http://www.de.bitdefender.com/scan/licence.php
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

#20 @Toska

Erst mal herzlichen Dank für die Links. Habe nochmal scannen lassen, alles negativ.
Dank Outpost war aber nachvollziehbar, daß jemand versuchte meine Ports zu scannen. Die IP Adresse habe ich. Ist ein Server im Ami-Land. Bin erschrocken wieviele Angriffe aus dem Netz es gibt. Ist das immer so und sind die alle gefährlich? Bin da ein absoluter Newbie.
Seit Outpost ist aber Ruhe auf meinem PC. Hoffe das bleibt so.

Nochmal thanx an alle.

Wenn´s was neues gibt, melde ich mich.

Gruß maxbryce
__________
Lebe nie schneller als dein Schutzengel fliegen kann.

#21 > Ist das immer so und sind die alle gefährlich?
Don´t panic! ;-)

Zu 95 Prozent + X ist das alles harmlos. Meistens P2P-Programme die Gegenstellen suchen (Port 4662, 1214 etc.)
Außerdem interessiert sich für Dich als Privatperson sicher keiner.. ;-)

Dann gibt´s noch ein paar Script-Kiddies die einfach IP-Adressen nach offenen Ports absuchen. Auch das ist ziemlich harmlos. Ein Port ist nur zu "benutzen", wenn da ein Dienst (Programm, Trojaner) hintersteht.

Welche Port wurde denn bei Dir angefragt?

#22 Das wird ja immer mysteriöser.....

Zitat

Im Outlook sind im Postausgang auch keine mails drin.

Also ich gehe mal davon aus, daß diese Fehlermeldungen nicht grundlos generiert werden und Outlook diese Mails tatsächlich verschickt hat.
(Irgendwo müssten die zu finden sein !!)
Wenn ich die Popups richtig interpretiere wurden die Mails verschickt, aber auf Grund einer Servermeldung (554 transaction failed) nicht zugestellt.
Ist das auch schon vorgekommen, wenn der Rechner überhaupt nicht online ist ? Sofern es auch dann mit den sleben Norton-Fehlermeldungen geschieht, dann
generiert "etwas" oder Norton die Fehlermeldungen.
Lade dir mal hier prcview runter: http://www.xmlsp.com/pview/prcview.htm.
Es zeigt Dir Tasks mit den dazugehörigen gewohnten Programmpfaden an.
(Es muß unterm Admin-Account gestartet werden sonst ist die Darsellung nicht vollständig, bzw Systemprozesse werden nicht angezeigt)

Noch eine Möglichkeit, Outlook "sagt" ich versende ein Mail an xxx@xxx, ohne daß tatsächlich ein Mail dahintersteckt, also nur ein "Send"-Befehl ohne Substanz......unmöglich !??
Bleibt immer noch die frage, was dafür verantwortlich ist.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#23 Also ....die Popups kamen nur wenn ich online war ohne daß IE6 oder Outlook offen waren. Die Verbindung mit dem I-Net reichte da schon aus. War ich nicht verbunden, passierte auch nix.
Diese mails sind auch nirgendwo auffindbar, weder im gesendetetn Ordner noch sonstwo.
Seit ich Outpost installiert habe kommt nix mehr. Habe jetzt allerdings auch schon mehrere Portscans gehabt und Unmengen von Verbindungsversuchen.
Habe die IP´s soweit über dnsstuff verfolgt. Die meisten sind aus Übersee.

Ist halt immer noch nicht geklärt wer oder was da versenden wollte.

Danke für den Link, der funzt leider nicht.

@Toska

Gescannt wurden ua. Port 445,137.
Angefragt 4662,1214, 137 usw.
__________
Lebe nie schneller als dein Schutzengel fliegen kann.

#24 Nochmal: Wenn ihr die Ursache auf dem Rechner von maxbryce sucht, liegt ihr imo daneben.

lt. maxbryce:
- Meldungen nur, wenn der Rechner online ist
- keine Mails auffindbar (meint: Ausgang Outlook)

Sollten doch Mails den Rechner verlassen, müsste ein SMTP-Server auf der Kiste aktiv sein (Wurm, Trojaner, selbst installiert...) Das würde erklären, warum im Outlook keine Nachrichten zu finden sind. Um Mails zu verschicken brauch ich dann keinen Client. Da aber auf Viren und anderes Getier gescant wurde - ohne Ergebnis - kann man das wohl ausschließen. Zudem müßte - egal wie - ein offener Port 25 für SMTP auffallen... tut's aber nicht.

Ich sag's gern nochmal: Wenn jemand Mails mit einem manipulierten Header an irgendwelche Fantasie-Mail-Addys bei Yahoo, GMX... verschickt und dabei als Absenderadresse die von maxbryce verwendet, erhält er dann auch von den jeweiligen Servern die Fehlermeldung "554 delivery error"... Die Meldung nach einem Selbstversuch sollte dann etwa so aussehen:

Zitat

<maxbryce@yahoo.com>:
64.156.215.6 failed after I sent the message./ Remote host said: 554 delivery error: dd This user doesn't have a yahoo.com account (maxbryce@yahoo.com) [-5] - mta219.mail.scd.yahoo.com/

Sieht doch der Meldung auf maxbryce's PC verdammt ähnlich oder?!

Was nicht ausschließt, dass das an einem Wurm liegt... der dann aber nicht bei maxbryce zu suchen wäre...

Grüße, dicon

Schon mal an die Möglichkeit gedacht, dass der Fehler von Nortons Mail-Proxy generiert wird... deaktivier doch das Ding mal. Theoretisch sollten dann die Fehlermeldungen direkt auf deinem Mailclient landen... mich wundert ohnehin, dass Norton auf diese Art meldet... ?!
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#25 Ist es richtig, daß dieses Mail-Gateway von Norton Port 25 auf deinem PC öffnet ? Sofern dies nicht an localhost gebunden ist und von außen erreichbar, könnte jemand durchaus in Versuchung kommen dies für seine Zwecke zu mißbrauchen.
Das würde auch erklären, warum die Mails bei Dir nicht lokal auffindbar sind und dieß auch geschieht, wenn Outlook geschlossen ist.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#26 Also tut mir leid. Ich peil´s nicht.

AFAIK: Die Mails können nur von SEINEM PC nach aussen gehen. Ich kenne zwar dieses Norton-Zeug nicht, aber was sollte es mit eingehenden Mails machen? Nichts, würde ich mal sagen.

Für mich stellt sich die Sache so da: Es ist ein Trojaner installiert, der im Hintergrund (ohne gestartetes Outlook) Mails wie wild an irgendwelche Adresen verschickt. Diese Mails werden aber direkt von Norton (Fehler 554) als unzustellbar hochgepopt, weil Dein SMTP-Server (Post-Augangsserver) nur über Authentifikation Mails rausschickt. Da aber als Absender nicht Deine "normale" Kennung eingetragen ist, sondern blabla@yahoo.com, sagt der Mailserver: Ne, ist nicht mit verschicken. Ich kenne Dich nicht.

Nachtrag:
Wie ich gerade bei geflissentlichem Lesen von dicon-Messages lese, ist das ja ungefähr die gleiche Aussage. Sorry.

#27 @Joschi

genauso sieht es aus. Durch den Emailproxy von Norton ist Port 25 sperrangelweit offen. Erst wenn die Emailprüfung für den Ausgang abgeschaltet ist, bleibt der Port so wie er sein soll. Mein ISP hat Portscanning durchgeführt und das festgestellt.
Ist das ein Bug im Norton AV?

@Toska

Dicon hat recht. Die Ursache liegt nicht auf meinem Rechner sondern das wurde von aussen gesteuert.
Und wie gesagt....seit der Installation von Outpost ist bis jetzt Ruhe.
Die Emailprüfung für den Ausgang habe ich jetzt trotzdem mal ausgeschaltet. Braucht man ja auch eigentlich nicht.

@Dicon

Nein, auf dem Mailclient landet nichts was da nicht hingehört.
__________
Lebe nie schneller als dein Schutzengel fliegen kann.

#28 'n Abend...

Tosca... "Wie ich gerade bei geflissentlichem Lesen von dicon-Messages lese, ist das ja ungefähr die gleiche Aussage.... Stimmt nicht ganz... Technisch gesehen schon, der Standpunkt ist nur ein anderer. Ich bin davon ausgegangen, dass die Mails nicht von maxbryce PC verschickt werden... du vom Gegenteil. Obwohl deine Argumentation nicht von der Hand zu weisen ist... Dagengen spricht allerdings, dass "554 delivery error" eine Meldung ist, die von einem SMTP-Server erzeugt und an den Absender geschickt wird, wenn die Mail-Addy bei ihm unbekannt ist. UNd lt. den Screenshots von maxbryce kommt die Meldung ganz klar von yahoo was eine fehlerhafte Authentizierung ausschließen dürfte BTW... Norton meint zu dieser Fehlermeldung:

Zitat

Fehler: "Ihre E-Mail konnte nicht gesendet werden, da Ihr Mail-Server die Nachricht zurückgewiesen hat." (1003,11)8

...

Lösung:
Dieser Fehler kann auftreten, wenn die gesendete E-Mail einer oder mehreren Anforderungen Ihres Internet-Dienstanbieters (ISP) zum E-Mail-Versand nicht entspricht. Die häufigsten Gründe für das Zurückweisen von E-Mail durch einen ISP sind:

* Die Authentifizierung Ihres E-Mail-Clients ist fehlgeschlagen.
* Ihre E-Mail enthält ungültige Zeichen.
* Ihre E-Mail übersteigt die von Ihrem ISP gesetzte maximale Dateigröße.
* Ihre E-Mail wurde von Ihrem ISP oder dem ISP des Empfängers als SPAM angesehen.

Bitten Sie Ihren ISP um Hilfe bei der Lösung des Problems

Trotz allem gibt's ein paar Hinweise, die für einen Versand der Mails von maxbryce PC sprechen:
Werden die Mails von Außen unter falschem Namen verschickt, müssten die Fehlermeldungen der Mail-Server trotzdem weiter bei ihm eintreffen... sie bleiben nicht am Norton-Mail-Proxy hängen, sondern landen als E-Mail direkt auf dem Client. Das trifft aber nur zu, wenn die Mail-Adressen tatsächlich nicht bekannt sind. Existieren die Mail-Addys, kommen natürlich auch keine Fehlermeldungen.

Ich glaube, wir fangen an, uns im Kreis zu drehen. Es könnte genauso gut ein Bug in Nortons Mail-Proxy sein... oder eine Fehlkonfiguration... oder... oder...

Machen wir's uns einfach: Installier auf deinem Rechner einen LAN-Sniffer, z.b. CommView. Schmeiß den Mail-Proxy wieder an, deaktiviere Outpost (wahrscheinlich der wirkliche Grund, warum die Popups nicht mehr kommen), mach einfach alles wieder so wie ursprünglich. Dann warte auf die Norton-Meldungen. Der Sniffer zeichnet den kompletten Datenverkehr auf Paketebene auf... auf allen Ports... alles was TCP/IP heißt... mit local- und Remote-IP. Wenn da also was deinen Rechner verläßt, siehst du's. Auch was die Norton-Meldungen verursacht. Einen Vorteil hat's noch... sollte da was illegales laufen, kannst du anhand der Pakete rekonstruieren, was.

Grüße, dicon

PS: Wenn's doch Mails von außen sind, muss dein ISP dir helfen. Zu jeder Fehlermeldung gehört eine Mail, die diese Meldung verursacht. Anhand der Server-Protokolle läßt sich das ganz leicht überprüfen und ggf. die Mail anhand der IP zurückverfolgen. Sollte die auch gefaked sein, sieht's schlecht aus... aber 'n Versuch wär's wert.
__________
Knie nieder NICHTS und danke der Welt, dass sie dir ein Zuhause gibt und dich am Leben hält.

#29 kann ja sein das sich jemand in den email-server hackt und aus spass über ihr postfach nachrichten verschickt die nicht zustellbar sind (falsche zeichen) um sich daran aufzugeilen was er nicht sieht wenn bei ihr 200000000 fenster aufgehen
ansonsten stellt sich das wie ein virus dar. kennst du langeweile.exe ist so ein kleines spass prog wenn du es doppelklickst steht da "hast du langeweile" ja , nein klickst du ja gehen 200 fenster auf die du alle einzeln schliessen musst
herrlich