Thunderbird EMail-Programm <- Gehackt?

[Aqua75]

Heute habe ich im EMail-Programm Thunderbird Kontakte entdeckt die ich gar nicht habe, und zwar "RUSSIAN GIRLS":

Also in dem Fall 12 Kontakte. Wenn ich mir die Kontakte dann als Liste anzeigen lasse, sieht es z.B. so aus:

Öffne ich aber diese EMail, wird als Absender "ebay" angegeben, was auch richtig ist, denn die Mail kam von ebay:

Hier kann man das nochmal sehen, dass die Mail von ebay kam:

Für mich sieht es so aus, als wenn sich Jemand in mein Thunderbird reingehackt hat.
Ich habe dann einen Virenscan mit AVAST gemacht aber es wurde nichts gefunden.
Dann habe ich einen Scan mit dem "adwcleaner_8.3.0" gemacht aber er hat auch nichts gefunden.

Also, ich habe definitiv mit "RUSSIAN GIRLS" nichts zu tun und frage mich was da los ist.

Vielleicht wisst Ihr ja Rat.

Vielen Dank im Voraus!

 

[EmmaL]

Ist dann nicht eher dein ebay-Account gehackt worden? Das ist mir auch mal passiert, dass jemand aus aus Italien was über meinen Account gekauft hatte.

 

[madmax2010]

Zeig doch mal die header der emails.
Die absender adresse manuell zu setzen ist kein hexenwerk.
Vermutlich hat irgendein Dienst der deine Adresse kennt sie mal "verloren"
Bekannteleaks kannst du hier pruefen: https://haveibeenpwned.com/

Ich habe dann einen Virenscan mit AVAST gemacht aber es wurde nichts gefunden.

wirf bitte avast runter. Das ist mehr eine Sicherheitsluecke als ohne

 

[Aqua75]

Ist dann nicht eher dein ebay-Account gehackt worden? Das ist mir auch mal passiert, dass jemand aus aus Italien was über meinen Account gekauft hatte.

Das tritt nicht nur bei ebay auf, sondern auch bei diversen anderen Absendern. Ebay war nur ein Beispiel.

 

[Rickmer]

Eher denn Thunderbird würde ich mal alle deine email-Adressen und deinen ebay-Account unter Generalverdacht setzen.

Alle Passwörter ändern und 2FA aktivieren.

Achja, Paypal & Co auch nicht vergessen, da gehören auch neue Passwörter mit 2FA rein. Alle Vertrauensstellungen auch mal zurücksetzen, damit man sich definitiv überall neu anmelden muss.
Und bloß nicht auf die Idee kommen, überall ähnliche oder gleiche Passwörter zu nutzen. Dafür wird ein Passworttresor (Passwortdienst) verwendet.

 

[Aqua75]

Zeig doch mal die header der emails.
Die absender adresse manuell zu setzen ist kein hexenwerk.
Vermutlich hat irgendein Dienst der deine Adresse kennt sie mal "verloren"
Bekannteleaks kannst du hier pruefen: https://haveibeenpwned.com/



wirf bitte avast runter. Das ist mehr eine Sicherheitsluecke als ohne

Der Header sieht so aus:

Er sieht also normal aus.

AVAST habe ich wieder deinstalliert.

Ergänzung (25. Oktober 2021)

Eher denn Thunderbird würde ich mal alle deine email-Adressen und deinen ebay-Account unter Generalverdacht setzen.

Alle Passwörter ändern und 2FA aktivieren.

Achja, Paypal & Co auch nicht vergessen, da gehören auch neue Passwörter mit 2FA rein. Alle Vertrauensstellungen auch mal zurücksetzen, damit man sich definitiv überall neu anmelden muss.
Und bloß nicht auf die Idee kommen, überall ähnliche oder gleiche Passwörter zu nutzen. Dafür wird ein Passworttresor (Passwortdienst) verwendet.

Ich habe ca. 20 EMail Adressen.
Bevor man eine Aktion startet, muss man schon sicher sein dass es Sinn macht.
Es kommen also Mails von ebay und in Thunderbird steht an einer Stelle Russian Girls als Kontakt, obwohl das nicht stimmt. Mit dem ebay-Konto habe ich aber keine Probleme.

 

[LuminousVision]

Es ist eher unwahrscheinlich, dass sich jemand "in" deinen Thunderbird "reingehackt" hat.

 

[Dr. McCoy]

Hier kann man das nochmal sehen, dass die Mail von ebay kam:

Nein, das kann man aus dem Eintrag in der "Von-Zeile" nicht sicher ableiten. Das lässt sich super-einfach fälschen. Da hilft nur ein genauerer Blick in den Header.

Der Header sieht so aus:

Nein, das ist nicht der Header. Den bekommst Du über "Ansicht -> Nachrichten-Quelltext".

Ich habe ca. 20 EMail Adressen.
Bevor man eine Aktion startet, muss man schon sicher sein dass es Sinn macht.

Wie komplex und unterschiedlich sind denn die dazu verwendeten Passwörter derzeit?
Hast Du derzeit für alle 20 E-Mail-Accounts die 2FA aktiviert?

 

[Aqua75]

Der Header-Quelltext sieht so aus:

 

[Dr. McCoy]

Der Header ist leider zu früh abgeschnitten, da fehlen noch Infos.

 

[Aqua75]

Neuer Versuch:

https://www.mediafire.com/file/zzp9w8s6gzthylb/Header2.pdf/file

 

[fixedwater]

Mal generell zur Erklärung: Dein Thunderbird holt nur ab bzw. bildet nur ab, was sich in Deinen Email-Accounts befindet. Kommen da Sachen an, die Dir nicht gefallen, dann sind die entsprechenden Mailaccounts in irgendeiner Form kompromittiert oder werden zugespamt.

 

[Aqua75]

Diese Bemerkung "RUSSIAN GIRLS" befindet sich aber nur in Thunderbird.
Im Quelltext ist doch alles OK.
Also muss es doch irgend etwas mit dem Programm zu tun haben.

Ich könnte meinen EMail-Account säubern und ein neues Passwort vergeben.
Ob es was bringt?

 

[Rickmer]

Wenn du nicht willens bist, den Header vernünftig zu kopieren, dann schau halt selber rein: https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx

Generell - 'Thunderbird' ist nicht gehackt. Wenn was gehackt ist, dann dein Computer auf dem Thunderbird installiert ist.

 

[fixedwater]

Also muss es doch irgend etwas mit dem Programm zu tun haben.

Wenn ich den Screenshot richtig zuordne, dann bildet der doch nur ab, was aus Deinen Mails an "Kontakten" (eigentlich Adressinformationen) in Thunderbird aufgelaufen ist. Also: Teil von reinkommenden Mails. Ansonsten siehe @Rickmer.

 

[Aqua75]

Versuch 3:

From - Wed Feb 3 19:13:15 2021
X-Account-Key: account10
X-UIDL: 715d8caba6074272d1d1ad0b7148e02b
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <ebay@ebay.com>
X-Envelope-To: <webmaster@geändert.de>
X-Delivery-Time: 1612371871
X-UID: 6792
Return-Path: <ebay@ebay.com>
ARC-Seal: i=1; a=rsa-sha256; t=1612371871; cv=none;
d=strato.com; s=strato-dkim-0002;
b=iNfg9Tuq4XaycUmecVveqq6HtCjyHZV1MShy1A25NLiG9sFZD6FxxImbmUMa9rBCt8
sOkUrQkFJaXh38IgObPtF++ctm+SoPjgJSrgkreSYKeivcEQ3g7QVJYmGyMmCSdJdZSt
h6FTxYqsZKtYtbzhZDLLKMU7wJch4DhicsLd8lh4FdTVSXCRs3yeg46Ig7Y7SLAQz0sj
1JegKqp2RzYu0j7wmiItQqc7cyxsbId82evnxdkqF7U+W/YT/8s9lbAQfwxWk88UbdV1
/Sxtytudaf0b+W84Gle10ODMRL4fdueeSp471vh8wjuA2s7Ir4oDBumgY4rKCdptET2/
9czg==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; t=1612371871;
s=strato-dkim-0002; d=strato.com;
h=Subject:Message-ID:To:Fromate:Ccate:From:Subject:Sender;
bh=EDBcftxfzEfc3epfdiT90IONm3hW8+3pzuyyABwolko=;
b=XN3hkuvveJCRrLp2HcCWgou/72PvtvQTgRY2M21fzaMIup4tU8U1FPvN43bVULWYzW
as85ds35kJEuLUZaKrG5qpfX366QD2wXgK7q1Ga24lYb8d8x05eA3GnPYnUpEEcZk0YX
oDZPHdHdbsINUK7boFrhBBMsEjzzQ9wWrrDcGdq22/kUJ9lOibQ9pCmUF+1Fr5nRV7dp
G01pl1/KV859b096ZAOPTJSXkuFxbqxKyqg9mO9nNg+4/d9xTl0L9pJvi5q92m6E6tiL
OjkCEZqtji1coG/cMjsVoduPuiW7yJ20m7Gf8XzbflJOwVQ4+WROukgnhgsXEV1lJWKu
ittA==
ARC-Authentication-Results: i=1; strato.com;
dmarc=pass (p=REJECT sp=NONE) header.from="ebay.com";
dkim=pass header.d="ebay.com" header.s="dkim1k" header.a="rsa-sha1";
dkim-adsp=pass;
spf=pass smtp.mailfrom="ebay@ebay.com"
Authentication-Results: strato.com;
dmarc=pass (p=REJECT sp=NONE) header.from="ebay.com";
dkim=pass header.d="ebay.com" header.s="dkim1k" header.a="rsa-sha1";
dkim-adsp=pass;
spf=pass smtp.mailfrom="ebay@ebay.com"
X-RZG-Expurgate: clean/normal
X-RZG-Expurgate-ID: 149500::1612371870-0000D106-762F8F02/9/55537
X-RZG-CLASS-ID: mi00
Received-SPF: pass
(strato.com: domain ebay.com designates 66.211.184.95 as permitted sender)
mechanism=ip4;
client-ip=66.211.184.95;
helo="mxphxpool1029.ebay.com";
envelope-from="ebay@ebay.com";
receiver=smtpin.rzone.de;
identity=mailfrom;
Received: from mxphxpool1029.ebay.com ([66.211.184.95])
by smtpin.rzone.de (RZmta 47.16.0 OK)
with ESMTPS id A03113x13H4UBa3
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (curve X9_62_prime256v1 with 256 ECDH bits, eq. 3072 bits RSA))
(Client did not present a certificate)
for <webmaster@geändert.de>;
Wed, 3 Feb 2021 18:04:30 +0100 (CET)
Received: from lvskirk0-5lkjq-tess0038.stratus.lvs.ebay.com (lvskirk0-5lkjq-tess0038.stratus.lvs.ebay.com [10.118.73.214])
by mxphxpool1029.ebay.com (8.14.7/8.14.7) with ESMTP id 113H43iB019307
for <webmaster@geändert.de>; Wed, 3 Feb 2021 10:04:28 -0700
DKIM-Filter: OpenDKIM Filter v2.10.3 mxphxpool1029.ebay.com 113H43iB019307
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; d=ebay.com; s=dkim1k;
t=1612371868; bh=r7pcugISYu5zuzNlGi6LqofAdzs=;
h=Date:From:To:Subject;
b=D3MZizryprx0llWNyCQA6Bp1rqZfKHzE53Wc7/IeYhtYou8RwrozJOyVky1DB85vA
wRxUbrG80IyTHw40KwDexCGmpDVvzGoz3S5lPqrSUL+nZ9XyIOBZxRQ74yYYAU8aOU
rpgX0UdTyiyLrcssF1Drc8JYbSMrkNKAnRWGWdkI=
Date: Wed, 3 Feb 2021 10:04:28 -0700
From: eBay <ebay@ebay.com>
To: webmaster@geändert.de
Message-ID: <0AB8E3DC-CED9A75C93E-0176D36C6AB1-00000000051D2B47@starship>
Subject: =?UTF-8?Q?Ihr_Artikel_wurde_verkauft_und_s?=
=?UTF-8?Q?oeben_bezahlt:BIHRTC_Tageslicht?=
=?UTF-8?Q?LED_Lampen,_10_St=C3=BCck,_5W,_E14,_6?=
=?UTF-8?Q?500K,Leuchtmittel(303607658933)?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_9186185_1868305423.1612371868013"
from-name: eBay
X-eBay-MailTracker: 12011.000.77.0.e73278d9d8cd42ddb22a4ab8225e6516
from-address: ebay@ebay.com
Feedback-ID: todo:12011:eBayStarship

------=_Part_9186185_1868305423.1612371868013
Content-Type: text/html;charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE html>
<!--8b0f8adb-9f8c-4b6e-abf4-511b1347091d_v1025-->
<html>
<head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-8=
"><style type=3D"text/css">



@Media only screen and (max-width: 620px) {

body[yahoo] .device-width {

=09width: 450px !important

}

body[yahoo] .threeColumns {

=09width: 140px !important

}

body[yahoo] .threeColumnsTd {

=09padding: 10px 4px !important

}

body[yahoo] .fourColumns {

=09width: 225px !important

}

body[yahoo] .fourColumnsLast {

=09width: 225px !important

}

body[yahoo] .fourColumnsTd {

=09padding: 10px 0px !important

}

body[yahoo] .fourColumnsPad {

=09padding: 0 0 0 0 !important

}

body[yahoo] .secondary-product-image {

=09width: 200px !important;

=09height: 200px !important

}

body[yahoo] .center {

=09text-align: center !important

}

body[yahoo] .twoColumnForty {

=09width: 200px !important
=09height: 200px !important

}

body[yahoo] .twoColumnForty img {

=09width: 200px !important;

=09height: 200px !important

}

body[yahoo] .twoColumnSixty {

=09width: 228px !important

}

body[yahoo] .secondary-subhead-right {

=09display: none !important

}

body[yahoo] .secondary-subhead-left {

=09width: 450px !important

}

body[yahoo] .desktop-img {

display: none !important;
max-height: 0px !important;
overflow: hidden !important;

}

body[yahoo] .mobile-img {

display: block !important;
max-height: none !important;
overflow: visible !important;

}

}

@Media only screen and (max-width: 479px) {

body[yahoo] .navigation {

=09display: none !important

}

body[yahoo] .device-width {

=09width: 300px !important;

=09padding: 0

}

body[yahoo] .narrow-list {
width: 260px !important;
padding: 0;
}

body[yahoo] .threeColumns {

=09width: 150px !important

}

body[yahoo] .fourColumns {

=09width: 150px !important

}
body[yahoo] .fourColumnsLast {

=09width: 150px !important

}
body[yahoo] .fourColumnsTd {

=09padding: 10px 0px !important

}

body[yahoo] .fourColumnsPad {

=09padding: 0 0 0 0 !important

}

body[yahoo] .secondary-product-image {

=09width: 240px !important;

=09height: 240px !important

}

body[yahoo] .single-product-table {

=09float: none !important;
=09margin-bottom: 10px !important;
=09margin-right: auto !important;
=09margin-left: auto !important;

}

body[yahoo] .single-product-pad {

=09padding: 0 0 0 0 !important;

}

body[yahoo] .single-product-image {
=09align:center;
=09width: 200px !important;
=09height: 200px !important

}

body[yahoo] .mobile-full-width {

=09width: 300px !important

}

body[yahoo] .twoColumnForty {
=09align:center; !important
=09width: 200px !important

}

body[yahoo] .twoColumnForty img {

}

body[yahoo] .twoColumnSixty {
=09padding-left: 0px !important;
=09width: 300px !important

}

body[yahoo] .adviceColumn {
=09width: 210px !important

}

body[yahoo] .secondary-subhead-left {

=09width: 300px !important

}

body[yahoo] .ThreeColumnItemTable{

padding: 0px 0px 0px 74px !important

}
body[yahoo] .FourColumnFloater
{
=09float: right !important;
}

*[class=3DcolSplit300] {
width: 300px !important;
display: block !important;
width: 320px !important;
height: auto !important;
padding: 0 !important;
float: left !important;
text-align: center;
}

*[class=3DnoMobile] {
display: none !important;
}
*[class=3DturnOnMobile300] {
display: block !important;
width: 300px !important;
height: auto !important;
padding: 0;
max-height: inherit !important;
overflow: visible !important;
}
*[class=3DResize320] {
width: 320px !important;
height: auto !important;
padding: 0 !important;
}
*[class=3DResize300] {
width: 300px !important;
}
*[class=3DResize298] {
width: 298px !important;
}
*[class=3DResize50] {
width: 50px !important;
}
*[class=3DResize40] {
width: 40px !important;
}
*[class=3Dfont-size-to-24] {
font-size: 24px !important;
line-height: 28px !important;
}
*[class=3Dfont-size-to-13] {
font-size: 13px !important;
line-height:19px !important;
}

body[yahoo] .desktop-img {

display: none !important;
max-height: 0px !important;
overflow: hidden !important;

}

body[yahoo] .mobile-img {

display: block !important;
max-height: none !important;
overflow: visible !important;

}

body[yahoo] .no-border {
=20
border: none !important;
=20
}

}


body[yahoo] .mobile-full-width {

=09min-width: 103px;
max-width: 300px;
=09height: 38px;
}
body[yahoo] .mobile-full-width a {

=09display: block;
=09padding: 10px 0;
}
body[yahoo] .mobile-full-width td{

=09padding: 0px !important
}
body[yahoo] .cta-link {
=09padding: 10px 17px !important;
=09display: block !important;
}
body[yahoo] .cta-cell {
=09padding: 0px !important;

}

td.wrapText{
white-space: pre-wrap; /* css-3 */
white-space: -moz-pre-wrap; /* Mozilla, since 1999 */
white-space: -pre-wrap; /* Opera 4-6 */
white-space: -o-pre-wrap; /* Opera 7 */
word-wrap: break-word; /* Internet Explorer 5.5+, 6, 7, 8 compability-mod=
e */
-ms-word-break: break-all; /* Internet Explorer 8 */
}

body { width: 100% !important; -webkit-text-size-adjust: 100% !important; -=
ms-text-size-adjust: 100% !important; -webkit-font-smoothing: antialiased !=
important; margin: 0 !important; padding: 0 0 100px !important; font-family=
: Helvetica, Arial, sans-serif !important; background-color:#f9f9f9}

.ReadMsgBody { width: 100% !important; background-color: #ffffff !important=
; }

.ExternalClass { width: 100% !important; }

.ExternalClass { line-height: 100% !important; }

img { display: block !important; outline: none !important; text-decoration:=
none !important; -ms-interpolation-mode: bicubic !important; }

td{word-wrap: break-word;}

.blueLinks a {
color: #0654ba !important;
text-decoration: none !important;
}

.whiteLinks a {
color: #ffffff !important;
text-decoration: none !important;
font-weight: bold !important;
}

.spacedList li{
margin-left: 0;
margin-top: 20px;
margin-bottom: 20px;
}

.wrapper {
width: 100%;
table-layout: fixed;
-webkit-text-size-adjust: 100%;
-ms-text-size-adjust: 100%;
}
.webkit {
max-width: 100%;
margin: 0 auto;
}

</style>


<!--[if gte mso 9]>

=09<style>td.product-details-block{word-break:break-all}.threeColumns{width=
:140px !important}.threeColumnsTd{padding:10px 20px !important}.fourColumns=
{width:158px !important}.fourColumnsPad{padding: 0 18px 0 0 !important}.fou=
rColumnsTd{padding:10px 0px !important}.twoColumnSixty{width:360px !importa=
nt}table{mso-table-lspace:0pt; mso-table-rspace:0pt;}</style>

=09<![endif]-->=20
<style type=3D"text/css">

@Media only screen and (max-width: 620px) {
=09table.dealmaker-600desktop-100mobile {
=09=09width: 600px !important;
=09}
}

@Media screen and (max-width:480px) {

*[class=3Dmobile-dealmaker-headline] {
font-size: 20px !important;
=09line-height: 23px !important;
}
*[class=3Dmobile-dealmaker-storyline] {
=09font-size: 13px !important;
=09line-height: 12px !important;
}
*[class=3Dmobile-dealmaker-product-title] {
=09font-size: 16px !important;
=09line-height: 15px !important;
}

*[class=3Dmobile-dealmaker-product-price] {
=09font-size: 20px !important;
=09line-height: 25px !important;
}

div.div-mobile-dealmaker-product-image {
align:center;
}

*[class=3Dmobile-dealmaker-product-image] {
width: 235px !important;
=09height: 235px !important;
=09border: none !important;
}

*[class=3DturnOnMobile-horizontalLine] {
=09display: block !important;
=09width: 100% !important;
=09height: auto !important;
=09padding: 0;
=09max-height: inherit !important;
=09overflow: visible !important;
}

td.mobile-dealmaker-CTA1 {
width: 303px !important;
}

table.mobile-dealmaker-product-background {
background-color:#ffffff !important;
}

table.dealmaker-600desktop-100mobile {
width: 100% !important;
}

table.mobile-dealmaker-300px {
=09width: 300px !important;
=09float: inherit !important;
}

table.mobile-dealmaker-grey-background {
background-color:#f9f9f9 !important;
}

table.mobile-dealmaker-100 {
=09width: 100% !important;
}

table.mobile-dealmaker-100 {
=09width: 100% !important;
}

td.mobile-dealmaker-fontsize12 {
=09font-size: 12px !important;
}
table.mobile-dealmaker-border-none {
=09border: none !important;
}

table.mobile-dealmaker-top-and-bottom-border-only {
=09border-top: 1px solid #dddddd !important;
=09border-bottom: 1px solid #dddddd !important;
=09border-left: none !important;
=09border-right: none !important;
}
.mobile-remove-min-width {
=09min-width: 0 !important;
}
}
</style>
</head>

 

[Rickmer]

Die email sieht schonmal wie legitim von ebay abgeschickt aus...

mxphxpool????.ebay.com passt vom Schema zu emails, die ich von ebay erhalten habe.


Wie @fixedwater geschrieben hat: Dann musst du mal schauen, wtf mit deinen Kontakten los ist. Sind die mit irgendeinem email-Konto synchronisiert, oder pur lokal in Thunderbird hinterlegte?

 

[Aqua75]

Wie @fixedwater geschrieben hat: Dann musst du mal schauen, wtf mit deinen Kontakten los ist. Sind die mit irgendeinem email-Konto synchronisiert, oder pur lokal in Thunderbird hinterlegte?

In meinem Thunderbird-Adressbuch gibt es keine "Russian Girls" und wo soll ich sie sonst finden?
Das erscheint wie gezeigt nur in der Suchansicht als Kontakt aber nicht im Adressbuch.

 

[Lextor]

thunderbird hat mehrere adressbücher (pers. Adressbuch/ kontakte/gesammelte adressen) !
gehts um POP3 oder IMAP ?über welches konto kam das ?

 

[Aqua75]

Ich habe alles durchgesehen aber "Russian Girls" gibt es dort nicht.
Der Quelltext ist offensichtlich auch OK.
Was bleibt als Möglichkeit?
Wahrscheinlich ein Zugriff auf meinen PC, um die Thunderbird-Mails abzugreifen.
Virenprogram + adwcleaner_8.3.0 haben nichts gefunden.
Problem vorbei???
Und wie bekomme ich nun die "Russina Girls" Anzeige weg?