Jürgen Fahnenschreiber wrote:

Hallo!

Gerade bekam ich folgende Mail von mir selbst:

Return-Path: X-Original-To: fahnenju@localhost.linux1.local Delivered-To: fahnenju@localhost.linux1.local Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id 996FB1F74E5 for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from linux1.local ([127.0.0.1]) by localhost (linux1 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 31467-09 for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id E57F71F74B4 for ; Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from pop.tiscali.de [62.26.116.130] by localhost with IMAP (fetchmail-6.2.3) for fahnenju@localhost (single-drop); Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from REINHARD.de (213.170.164.91) by webmail.tiscali.de (6.7.019) id 3F9D28A802118C5E; Wed, 14 Jan 2004 18:39:15 +0100 Date: Wed, 14 Jan 2004 18:39:15 +0100 (added by postmaster@webmail.tiscali.de) From: fahnenju@tiscali.de To: qmail5631x@tiscali.de Subject: Hi, Ich bin's Importance: Normal X-Mailer: Fax Mail V6.71 Message-ID: <96472846865653.85195xsmail@tiscali.de> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="=====REINHARD_c897ff9e9b4a9b9546899e" X-Virus-Scanned: by amavisd-new at local X-Spam-Status: No, hits=1.1 required=5.0 tests=NO_REAL_NAME version=2.55 X-Spam-Level: * X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp) Status: R X-Status: N X-KMail-EncryptionState: X-KMail-SignatureState:

Die Mail ist ohne Inhalt! Hab ich einen Virus auf meinem reinen SuSE 9.0 -Rechner? Ich werd aus dem Vorspann nicht ganz schlau....

Jürgen

hallo jürgen, also nach dem betreff zu urteilen müßte das n virus sein habe den gestern entfernen müssen bei meinen mitbewohnern; die haben auch einen mail bekommen mit dem oben genannten betreff und beim öffnen , na ja halt zu spät. ich glaube auf der http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.c@mm.html seite ist alles dazu aufgelistet, unter anderem auch der subject. mfg sebastian

Jürgen Fahnenschreiber am Mittwoch, 14. Januar 2004 18:57:

Hallo!

Gerade bekam ich folgende Mail von mir selbst:

Return-Path: X-Original-To: fahnenju@localhost.linux1.local Delivered-To: fahnenju@localhost.linux1.local Received: from localhost (localhost [127.0.0.1])         by linux1.local (Postfix) with ESMTP id 996FB1F74E5         for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from linux1.local ([127.0.0.1])  by localhost (linux1 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP  id 31467-09 for ;  Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from localhost (localhost [127.0.0.1])         by linux1.local (Postfix) with ESMTP id E57F71F74B4         for ; Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from pop.tiscali.de [62.26.116.130]         by localhost with IMAP (fetchmail-6.2.3)         for fahnenju@localhost (single-drop); Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from REINHARD.de (213.170.164.91) by webmail.tiscali.de ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Wer ist das? Kennst du den/die?

linux:~# whois reinhard.de domain: reinhard.de descr: Reinhard Schulz descr: Schuerstr. 16 descr: D-13597 Berlin descr: Germany nsentry: reinhard.de IN A 192.67.198.4 nsentry: www.reinhard.de IN A 192.67.198.4 linux:~# whois 213.170.164.91 % This is the RIPE Whois server. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-services/db/copyright.html inetnum: 213.170.160.0 - 213.170.183.255 [...] role: EWE TEL Hostmaster address: EWE TEL GmbH address: Cloppenburger Str. 310 address: 26133 Oldenburg address: Germany phone: +49 441 8000 1519 fax-no: +49 441 8000 1599 Dahinter steckt irgendwie Tiscali, IIRC. Irgendwie passen beide nicht zusammen, oder? Mindestens eins von beiden scheint gefaked.

Die Mail ist ohne Inhalt! Hab ich einen Virus auf meinem reinen SuSE 9.0 -Rechner? Ich werd aus dem Vorspann nicht ganz schlau....

Hm. -- Gruß MaxX 8-)

Hallöle, On Wed, 14 Jan 2004 18:57:26 +0100 Jürgen Fahnenschreiber wrote:

Gerade bekam ich folgende Mail von mir selbst:

Return-Path: [...] Received: from REINHARD.de (213.170.164.91) by webmail.tiscali.de (6.7.019)         id 3F9D28A802118C5E; Wed, 14 Jan 2004 18:39:15 +0100 [...] Die Mail ist ohne Inhalt! Hab ich einen Virus auf meinem reinen SuSE 9.0 -Rechner? Ich werd aus dem Vorspann nicht ganz schlau....

Da ist im Moment mal wieder ein Sober (oder immernoch) unterwegs. Hier kommen so im 10 Minuten Takt: Received: from THOMASXP.com (p3EE3959B.dip.t-dialin.net[62.227.149.155]) Received: from ANDREAS.com (pD9FF41A5.dip.t-dialin.net [217.255.65.165]) Received: from THOMASXP.de (p3EE3962A.dip.t-dialin.net [62.227.150.42]) Received: from TGHSRV.de (dialin-145-254-195-218.arcor-ip.net [145.254.195.218]) wo unsere freundlicher AMaViS warnt: Contains signature of the worm Worm/Sober.C1 Ich habe es mittlerweile aufgegeben die Jungs bei T-Online und Arcor anzuschreiben, da reagiert eh keiner. Die sollten eigentlich rausfinden können wer wann unter der IP drinnen war und die mal vorwarnen das sich da was auf deren Rechnern eingenistet hat ... Ciao, Michael -- ================================================ Michael Polenske System Analyst NEC High Performance Computing Europe GmbH Prinzenallee 11 D-40549 Duesseldorf, Germany Tel: +49 211 5369 145 mpolenske@hpce.nec.com Fax: +49 211 5369 199 http://www.hpce.nec.com ================================================