Ich hatte am Donnerstag den mittlerweile zweiten Bekannten auf der Matte stehen, der von seinem Internetprovider (T-Online) eine Mail bekommen hat in der es heißt sein Rechner sei von einer Schadsoftware befallen und Mitglied in einem Botnetz. In der Mail (4 Seiten lang) heißt es unter anderem, dass von seinem Rechner aus Spam-Mails versendet wurden in denen für Viagra und Glücksspiele geworben wird. Deshalb wurde der Zugriff auf sein E-Mail-Konto und einige Ports für den E-Mail-Versand gesperrt.
(Die Mail habe ich nicht gesehen, der Inhalt wurde mir so geschildert, auch von dem Anderen Bekannten - der hatte sein Schlepptop aber schon in Eigenregie neu installiert und mir erst hinterher von der Mail erzählt.)
Er soll seinen PC neu installieren, erst dann werden die Beschränkungen wieder aufgehoben.
Nun, ich hab mir die Kiste dann mal angesehen und konnte nichts feststellen. Er hat ein voll aktuelles Antivir drauf, alle Sicherheitsupdates sind im WinXP drin und die Windows-Firewall ist aktiv. Dazu ist er normal noch von seinem Router geschützt. Die Log-Datei von Antivir ist sauber, es wurde noch nie was kritisches gefunden. Er hat den PC auch regelmäßig alle 2-3 Wochen vollständig scannen lassen.
Hab die Platte dann an einen meiner PCs angeschlossen und den Norton 2010 von meinem PC sowie die Onlinescanner von Bitdefender und Kaspersky auf seine Platte losgelassen. Anschließend sicherheitshalber auch noch PC-Cillin und ClamAV von einer Knoppix-CD aus. Keiner hat etwas gefunden.
Dazu muss ich sagen, dass sein Internetanschluss nur von diesem einen PC genutzt wird, und das per Kabel, ein W-LAN Netzwerk hat er nicht. Also auch keine Möglichkeit, dass sein Anschluss von irgendjemand mitgenutzt wird.
Nun stellt sich mir die Frage, wie die Telekom eigentlich feststellt, dass eine Infektion vorliegt? Anlysieren die die SMTP-Ports und schauen nach was da versendet wird? Kann mir nicht vorstellen, dass die das dürfen... Und warum wird der Zugang zu seiner E-Mail-Adresse gesperrt? Wenn ein Trojaner drauf ist, der Spam raushaut, dann erfolgt das doch anonymisiert über den Trojaner selbst, und nicht über das auf dem PC eingerichtete Postfach, oder sehe ich da was falsch?
Er hat inzwischen mit der Telekom gesprochen und denen geschildert dass der PC überprüft wurde und offenbar sauber ist. Aber die wollen die Beschränkungen erst wieder aufheben, wenn der PC neu installiert wurde. Das bringt mich zur nächsten Frage: Wie bitteschön wollen die Telekomiker feststellen ob ein PC neu installiert wurde oder nicht? Das können die ja gar nicht, außer vielleicht sie sniffen aus der Registrierung des Betriebssystems bei MS den Installationscode heraus - der verschlüsselt übertragen wird. Das darf T-Online aber ganz sicher nicht. Und wenn die Registrierung per Telefon gemacht wird haut das auch nicht hin.
Also was soll das Ganze, könnt ihr euch einen Reim darauf machen? Viel Text, ich weiß - Danke fürs Lesen!
In einem ähnlichen Fall in meiner Umgebung betraf das Vodafone - vormals Arcor.
Auch hier wurde der Mailversand vom Provider komplett gestoppt. Es wurde da anscheinend einfach der "Mailspezifische" Traffic überwacht - vermute ich mal. Denn der Provider hielt sich dazu äußerst bedeckt.
Ich habe den entsprechenden PC auch überprüft und nichts festgestellt.
Dieser Traffic wurde allerdings auch registriert, als der PC nachweislich nicht am Netz hing!
Die Eigentümerin hatte möglicherweise ihre Mail- Zugangsdaten weiter gegeben und diese wurden dann mißbraucht.
Nachdem ich ihr Mailkonto löschte und ein Neues einrichtete, war der Spuk vorbei.
Antivir ist kein Argument........
Botnetz heißt primär keinVirus sondern ehzrerr in die Kategorie Trojaner/Rootkit
Und dann ist es so, dass er zumindes vorher einge Mails von T-Online bewusst ignoriert hatte..
Nun stellt sich mir die Frage, wie die Telekom eigentlich feststellt, dass eine Infektion vorliegt?
Von sich aus machen die gar nichts, die werten die Mails von Leuten aus, die sich beschwert hatten, und dann gibt es Mails an den Verursacher, d.h. es gibt vorher Warnstufen, die schalten nicht einfach ab, nur wenn einer sich bewusst dumm stellt.....
Was denkst Du warum es noch so viel Botnetze gibt ? Eben wegen solcher Kandidaten. Gut dass T-Online nun einschreitet, dass kommt dem kompletten Internet zu gute.
Kann es sein, dass es noch die T-Online Sicherheitslücke besteht und man sich ohne Passwort im E-Mailkonto einloggen kann so lange man online ist ? Siehe hier: http://www.online-artikel.de/article/sicherheitsluecke-im-t-online-mailsystem-26606-1.html
Es ist müßig darüber zu diskutieren, ich kann auch nur empfehlen, die Sicherheitslücke zu schließen (sofern diese besteht) und gleichzeitig das Passwort zu ändern.
Es wurde da anscheinend einfach der "Mailspezifische" Traffic überwacht - vermute ich mal. Denn der Provider hielt sich dazu äußerst bedeckt.
Kann ich mir gut vorstellen, wenn rauskommt dass die die Mails ihrer Kunden überprüfen gibts Feuer und Bewegung...
Antivir ist kein Argument........
Norton, Kaspersky, Bitdefender, ClamAV und PC-Cillin auch nicht?
Von sich aus machen die gar nichts, die werten die Mails von Leuten aus, die sich beschwert hatten, und dann gibt es Mails an den Verursacher
Glaube ich nicht. Den Absender einer E-Mail kann man fälschen - und bei Spam wird das zu 100% auch so gemacht. Die allermeisten Spam-Mails haben nicht mal eine verwertbare Absender-IP, weil sie über diverse Anonymisierungsserver laufen.
Gut dass T-Online nun einschreitet, dass kommt dem kompletten Internet zu gute.
Schon, aber anhand des PCs meines Bekannten muss man sich schon fragen ob diese Maßnahmen nicht am Ziel vorbei gehen. Wegen eines möglicherweise gehackten E-Mail Passwortes auf einen infizierten PC zu schließen ist so als würde man alle Porsche-Fahrer pauschal zu Strafen wegen Geschwindigkeitsüberschreitung verknacken.
Es ist müßig darüber zu diskutieren, ich kann auch nur empfehlen, die Sicherheitslücke zu schließen (sofern diese besteht) und gleichzeitig das Passwort zu ändern.
Eine Sicherheitslücke besteht auf dem PC meines Bekannten ganz offensichtlich nicht, dann hätte irgendein Virenscanner was gefunden - zumal bei Botnetzen, deren Verursacher meist gut bekannt sind. Und das E-Mail Passwort kann er nicht ändern, weil sein Account ja gesperrt ist - und die Telekomiker wollen den erst nach einer (ganz offenbar gar nicht notwendigen) Neuinstallation freigeben. Das grenzt meiner Meinung nach an Nötigung.
Glaube ich nicht. Den Absender einer E-Mail kann man fälschen - und bei Spam wird das zu 100% auch so gemacht.
Was Du glaubst ?, das Spam Team von T-Online kann die Spams sehr gut interpretieren, bestimmte Dinge im Header lassen sich NICHT fälschen.
Und ja Norton, Kaspersky, Bitdefender, ClamAV und PC-Cillin auch nicht. Die können nur was erkennen, wenn die Signatur bekannt ist. Sonst sind diese blind.
Das grenzt meiner Meinung nach an Nötigung.
Findest Du, ich nicht, denn dann muss man sich in der Tat mit seinem PC befassen und überlegen "Was könnte ich bis dato falsch gemacht haben, oder wo brauche ich Hilfe !"
Die Botnetze gehören abgewürgt !
deren Verursacher meist gut bekannt sind
Der Verursacher aber nicht deren Mutationen, Trojaner sind nicht dumm. Und nur dumm programmierte Trojaner lassen sich mit Virenscanner finden aber beseitigen schon lange nicht mehr.
Es gibt zwei Passwörter, einen für das T-Online Online-Emailkonto und das Konto für den lokalen Emailclient. Das sind zwei paar Stiefel. Auf der T-Online Page müsste er sich vemutlich einloggen können.
bestimmte Dinge im Header lassen sich NICHT fälschen.
Alle Absenderinfos lassen sich relativ leicht fälschen.
Und ja Norton, Kaspersky, Bitdefender, ClamAV und PC-Cillin auch nicht. Die können nur was erkennen, wenn die Signatur bekannt ist. Sonst sind diese blind.
Ist mir klar. Aber die Wahrscheinlichkeit, dass ein PC infiziert ist wenn alle Fünf ausnahmslos behaupten er wäre sauber ist doch relativ gering.
Die Botnetze gehören abgewürgt !
Da sind wir einer Meinung, aber mit den Methoden der Telekom bin ich so nicht einverstanden. Wie ich schon geschrieben hab, von einem möglicherweise geknackten E-Mail Passwort direkt auf einem infizierten PC zu schließen ist etwas weit hergeholt. Es kann so sein, muß aber nicht. Und vor diesem Hintergrund den Kunden pauschal zu einer Neuinstallation zwingen?
Es gibt zwei Passwörter, einen für das T-Online Online-Emailkonto und das Konto für den lokalen Emailclient. Das sind zwei paar Stiefel. Auf der T-Online Page müsste er sich vemutlich einloggen können.
Nein. Das Online-Passwort ist dasselbe, wie das am E-Mail Client. (Thunderbird) Anders kann es ja auch nicht funktionieren.
Ganz einfach, weil es offenbar falscher Alarm ist.
So einfach kannst Du es Dir nicht machen, die können seh genau aufdröseln, dass die Mail von dem PC Deines Bekannten versendet worden ist.
Er soll seinen PC neu installieren, erst dann werden die Beschränkungen wieder aufgehoben.
Und warum macht er es nicht?
Ich bin froh, wenn mein Provider am ungewöhnlich erhöhten Mailversand von meinem Internetzugang erkennt, das mein Rechner als Spamversender missbraucht wird und mich warnt.
Oder wenn die Empfänger der Spam-Mails reagieren und sich an meinen Provider wenden.
Was ist daran denn schlimm?
Wenn nun jemand befürchtet, das sein Provider seine E-Mails mitliest, so steht ihm doch frei, sie zu verschlüsseln.
Alle, bis auf die Spam Versender, regen sich zu recht über das hohe Spamaufkommen heutzutage auf.
Wenn dann Provider endlich etwas mehr dagegen tun und die Besitzer der "Spamschleudern" verwarnen, scheint das einigen auch nicht recht zu sein.
Nach dem Motto, wasch mir den Buckel, aber mach mich nicht nass.
Ganz einfach, weil es offenbar falscher Alarm ist. Und ob wirklich neu installiert wurde kann die Telekom gar nicht wissen, man könnte auch einfach sagen man hat es gemacht und fertig. Wozu also das Ganze?
Wenn nun jemand befürchtet, das sein Provider seine E-Mails mitliest, so steht ihm doch frei, sie zu verschlüsseln.
Nur weil Du kein Problem mit Datenschutzverletzungen hast, muss es nicht jeder so halten.
Wenn dann Provider endlich etwas mehr dagegen tun und die Besitzer der "Spamschleudern" verwarnen, scheint das einigen auch nicht recht zu sein. Nach dem Motto, wasch mir den Buckel, aber mach mich nicht nass.
Ahh, ein Ahnungsbär... Nochmal: Ich hab kein Problem mit Maßnahmen gegen Spam und Schadprogramme, ganz im Gegenteil - vorausgesetzt sie sind nachvollziehbar und der Datenschutz wird gewahrt. Und das ist zumindest im Fall meines Bekannten zweifelhaft.
Ganz einfach, weil es offenbar falscher Alarm ist.
Und das hast Du herausgefunden?
Nur weil Du kein Problem mit Datenschutzverletzungen hast, muss es nicht jeder so halten.
Wer hat dir denn diesen Bären aufgebunden?
Ahh, ein Ahnungsbär...
Das kling so, als hättest Du etwas gegen Leute, die Ahnung haben.
Ich hab kein Problem mit Maßnahmen gegen Spam und Schadprogramme, ganz im Gegenteil - vorausgesetzt sie sind nachvollziehbar und der Datenschutz wird gewahrt. Und das ist zumindest im Fall meines Bekannten zweifelhaft.
Nachvollziehbar von wem.
Von dir?
Du bist also auf dem Gebiet vom Fach?
Bist dir aber nicht wirklich sicher, ob der Rechner deines Bekannten nun befallen ist oder nicht.
Warum sonst hättest Du zweifelhaft geschrieben.
Lesen kannst Du schon, oder? Ich mach morgen noch ein paar abschließende Tests aber bisher ist alles in Ordnung mit dem Ding.
Wer hat dir denn diesen Bären aufgebunden?
Du selbst, kannst es oben nachlesen.
Nachvollziehbar von wem. Von dir?
In erster Linie von meinem Bekannten, den betrifft es ja. Und ich würde es auch gern wissen, weil ich Zweifel habe dass die (vorausgesetzt es stimmt) mit legalen Mitteln darauf gekommen sind. Die Sperrung des Postfaches einerseits und die pauschale Forderung nach einer Neuinstallation andererseits passen jedenfalls nicht zusammen.
Tut mir leid, aber ich habe die entsprechende Stelle nicht gefunden.
Vielleicht setzt Du sie mal als Zitat in deine nächste Antwort rein.
In erster Linie von meinem Bekannten, den betrifft es ja.
Und wie hat er das denn nun zweifelsfrei festgestellt?
Ist den wenigstens er Fachmann in Sachen Informationstechnologie / Computer?
Warum hatte er dann dich um Rat gefragt?
Zweifelhaft finde ich die Methoden der Telekom.
Was isr daran zweifelhaft, wenn ich von meinem Provider auf Sicherheitsmängel an meinem PC hingewiesen werde?
In der CT 2/2010 gab es die aktuelle c't-Security-CD.
Mit der kann man seinen Rechner auf Schadsoftware überprüfen, ohne das Windows gestartet und die jeweilige Schadsoftware aktiv ist.
Vielleicht wendest Du diese erst mal an.
Sollte damit auf dem Rechner deines Bekannten nichts gefunden werden, dann leiste ich dir gerne Abbitte.
Einen Rechner unter laufendem Windows auf Schadsoftware zu überprüfen funktioniert meines Wissens mit keinem Virenscanner hundertprozentig.
Hattest Du eigentlich schon HijackThis auf seinem Rechner laufen und das Ergebnis auswerten lassen?
Da kommt auch so manches ans Tageslicht.
Das alles könntest Du mal tun, stattdessen prügelst Du lieber verbal auf Menschen ein, die es nur gut mit dir meinen.
Tut mir leid, aber ich habe die entsprechende Stelle nicht gefunden.
Vielleicht setzt Du sie mal als Zitat in deine nächste Antwort rein.
Bitte:Wenn nun jemand befürchtet, das sein Provider seine E-Mails mitliest, so steht ihm doch frei, sie zu verschlüsseln.
Und wie hat er das denn nun zweifelsfrei festgestellt?
Ist den wenigstens er Fachmann in Sachen Informationstechnologie / Computer?
Warum hatte er dann dich um Rat gefragt?
Er hat gar nichts festgestellt, ich bin der Computerfuzzi. Und Du verdrehst hier die Postings - was wir nachvollziehbar haben wollen sind die Methoden der Telekom, nicht unsere Feststellungen. Auf gut deutsch: Was genau haben die Telekomiker festgestellt und wie? Die 4-Seiten-Mail enthält dazu rein gar nichts die ist so schwammig geschrieben dass man alles mögliche reininterpretieren kann.
In der CT 2/2010 gab es die aktuelle c't-Security-CD.
Mit der kann man seinen Rechner auf Schadsoftware überprüfen, ohne das Windows gestartet und die jeweilige Schadsoftware aktiv ist.Sollte damit auf dem Rechner deines Bekannten nichts gefunden werden, dann leiste ich dir gerne Abbitte. Einen Rechner unter laufendem Windows auf Schadsoftware zu überprüfen funktioniert meines Wissens mit keinem Virenscanner hundertprozentig.
Du kannst eindeutig nicht lesen. Kleines Zitat aus meinem Anfangsposting:
Hab die Platte dann an einen meiner PCs angeschlossen und den Norton 2010 von meinem PC sowie die Onlinescanner von Bitdefender und Kaspersky auf seine Platte losgelassen. Anschließend sicherheitshalber auch noch PC-Cillin und ClamAV von einer Knoppix-CD aus. Keiner hat etwas gefunden.
Alles klar? Ich hab auf seinem Windows lediglich die Einstellungen überprüft. Die verschiedenen Virenscanner liefen auf einem sauberen Rechner von mir oder von Knoppix-CDs aus.
Das alles könntest Du mal tun, stattdessen prügelst Du lieber verbal auf Menschen ein, die es nur gut mit dir meinen.
Ich tue mich - zugegeben - etwas schwer damit an Deinen guten Willen zu glauben, wenn Du etwas verdrehst bzw. gar nicht mitbekommst was ich geschrieben hab und worum es mir geht.
Bitte:Wenn nun jemand befürchtet, das sein Provider seine E-Mails mitliest, so steht ihm doch frei, sie zu verschlüsseln.
Und daraus leitest Du also ab, das ich ein Problem mit "Datenschutzrecht" habe?
Ich bewundere deine Fantasie. ;-)
Auf gut deutsch: Was genau haben die Telekomiker festgestellt und wie? Die 4-Seiten-Mail enthält dazu rein gar nichts die ist so schwammig geschrieben dass man alles mögliche reininterpretieren kann.
Du hast sie also mittlerweile selber gelesen?
Vielleicht setzt Du sie mal hier rein, damit wir uns auch ein Bild davon machen können.
Hab die Platte dann an einen meiner PCs angeschlossen und den Norton 2010 von meinem PC sowie die Onlinescanner von Bitdefender und Kaspersky auf seine Platte losgelassen. Anschließend sicherheitshalber auch noch PC-Cillin und ClamAV von einer Knoppix-CD aus. Keiner hat etwas gefunden.
Ach ja, richtig, Du hattest eine potenziell verseuchte Festplatte an deinen PC angeschlossen.
Herzlichen Glückwunsch.
Aber das mit der CT-CD hast Du natürlich noch nicht gemacht?
Ich würde sie dir auch gerne schicken.
Die verschiedenen Virenscanner liefen auf einem sauberen Rechner von mir oder von Knoppix-CDs aus.
Das der eigene Rechner sauber ist, kann heutzutage kaum jemand hundertprozentig wissen, außer Du natürlich. ;-)
Ich tue mich - zugegeben - etwas schwer damit an Deinen guten Willen zu glauben, wenn Du etwas verdrehst bzw. gar nicht mitbekommst was ich geschrieben hab und worum es mir geht.
Was solltest Du auch anderes schreiben, wenn Du deiner bisherigen Linie treu bleiben willst, das nur Du recht hast. ;-)
Ja, was willst Du eigentlich genau?
Ist es der Versuch, hier Sympathisanten zu finden, mit denen man gemeinsam verbal auf die Telekom einprügeln kann?
Die ist ja schließlich die Wurzel des Übels, und nicht der höchstwahrscheinlich verseuchte Rechner deiner Bekannten, von denen der mit dem Laptop das einzig richtige getan und Windows neu installiert hat.
Mein Vorschlag an deinen Bekannten.
Er soll ein Image seines Betriebssystem im jetzigen Zustand anlegen und dann Windows neu installieren.
Wenn es dann von der Telekom keine Beanstandung mehr gibt und sein E-Mail Konto wieder freigegeben wird, hat er die Gewissheit, das sein Rechner verseucht war.
Wenn die Telekom dann immer noch meckert, und er viel Zeit in seinen Rechner gesteckt hat, um ihn in dem jetzigen Zustand mit allen Installationen zu haben, kann er das Image ja wieder zurückspielen.
Wobei, ein Imageprogramm zur Datensicherung sollte eigentlich jeder Windowsnutzer haben, finde nicht nur ich.
Da wirst Du hier noch einige andere finden, die auch so denken.
Und nun wieder Du. ;-)
Ganz einfach, weil es offenbar falscher Alarm ist.
Wie willst Du das beurteilen, kannst Du gar nicht, ohne wenn und aber !
Mir ist es gleich, auf jeden Fall ist der PC Deines Bekannten weg vom Netz.
Leider ist es so, die Provider lesen die Mails mit und dürfen es offenbar auch. Googel ist ein gutes Beispiel dafür. Wer dort ein Mailfach unterhält, bekommt Werbung, genau darauf abgestimmt bei allen möglichen Gelegenheiten untergejubelt. Aber das ist schon lange bekannt und von Google auch bestätigt worden.
Ich hatte übrigens schon öfter die Gelegenheit solche befallenen und angemahnten PCs zu untersuchen. Die Provider hatten jedes mal recht mit ihrer Warnung. Ein negatives Scanergebnis einer ausgebauten HD heißt noch lange nicht sauber. Hierbei hilft nur eine genaue Untersuchung des Datenverkehrs.
Übrigens sollen auch bestimmte Router anfällig sein.
Leider ist es so, die Provider lesen die Mails mit und dürfen es offenbar auch. Googel ist ein gutes Beispiel dafür. Wer dort ein Mailfach unterhält, bekommt Werbung, genau darauf abgestimmt bei allen möglichen Gelegenheiten untergejubelt. Aber das ist schon lange bekannt und von Google auch bestätigt worden.
Google ist ein Einzelfall, bei denen steht das in den Vertragsbedingungen. Wer die abnickt ist also damit einverstanden, und gut. Aber die anderen Provider schreiben davon meines Wissens nix in den Verträgen, also dürfen sie es nach deutschem Recht auch nicht. Egal ob manche Kunden möglicherweise damit einverstanden sind.
Ich hatte übrigens schon öfter die Gelegenheit solche befallenen und angemahnten PCs zu untersuchen. Die Provider hatten jedes mal recht mit ihrer Warnung. Ein negatives Scanergebnis einer ausgebauten HD heißt noch lange nicht sauber. Hierbei hilft nur eine genaue Untersuchung des Datenverkehrs.
Wenn was drauf ist hab ich kein Problem damit ihm die Kiste neu zu installieren, das würde ich auch ohne "Aufforderung" vom Provider machen. Naja, ich prüfe morgen mal die Ports und schaue was der Sniffer sagt.
Der PC wurde bei uns in der Arbeit von unserer PC Abteilung untersucht und die fanden wirklich zahlreiche Trojaner.
Somit hatte die Telekom schon recht.
Denke mal, dass sie nicht die einzelnen Mails anschauen,
sondern der Rechner bei der Telekom eine Warnung auswirft, wenn z.B von einem Anschluss plötzlich 20000 Mails in der Woche oder im Monat verschickt werden. Das wäre ja nicht normal :-)
Die Provider werten auch den Inhalt der Mails aus, natürlich nicht per Hand, sondern "maschinell". Auf den Inhalteauswertungen basiert ein Großteil der Spamfilter.
Bei dieser debatte habe ich irgendwe den Eindruck, das der Threadstarter felsenfest der Überzeugung ist, das der Bekannte
den mittlerweile zweiten Bekannten auf der Matte stehen
das Opfer einer fiesen Intrige der Telecom ist... Und keinerlei Argumente degegen akzeptiert.
Ein Provider muß nicht den Inhalt der Mails lesen, um zu erkennen, das es SPAM ist, was da verschickt wird.
Und an wen soll sich denn der Provider (gleichgültig, welcher) wenden, wenn über ein Mailkonto SPAM in Größenordnungen versendet wird? Doch wohl an den Inhaber des Kontos!
Und eine Neuinstallation? Da sage ich - die einzige Lösung, die einzige solide Lösung jedenfalls bei einem Befall.
Mittels Reinigungs- Wundertools kann man keinen PC zuverlässig von Schadsoftware befreien - auch wenn die, die eine Neuinstallation mehr scheuen, wie der Teufel das Weihwasser, das unentwegt behaupten.
Aber darum scheint es nicht zu gehen.
Von einem einmal gefaßten Standpunkt kann man einfach nicht abgehen.
Denn dann ist man ein Weichei.
Hi Jürgen.
Dies ist eine Frage und keine Meinung zu dem Thread
Wie ist das eigentlich, wenn mein Comp Teil eines Botnetzes ist, merke ich das u.U. gar nicht. In diesem Zustand erstelle ich ein Image von dem Comp. Jetzt bekomme ich so eine Sperrung mit der Aufforderung, neu zu installieren. Nun mache ich den Comp platt und spiele das Image zurück, dann ist doch der Comp immer noch eine Spamschleuder, oder nicht? Dann dürfte man ja nur ein Image erstellen, nach einem Neuaufsatz, wenn alle Programme neu installiert wurden. Das alles ohne Internetverbindung. Wenn ein Comp ein paar Wochen läuft, kann man sich ja nicht sicher sein, dass der Comp noch sauber ist.
Gruß Jogi
...wenn mein Comp Teil eines Botnetzes ist, merke ich das u.U. gar nicht
Ich denke mir, ein User, der in seinem PC nicht nur eine Schreibmaschine sieht, sollte das schon bemerken.
Zum Beispiel und im einfachsten Fall daran, das die Lumi seiner Netzwerkkarte oder seines Routers in einem fort blinkt.
Jetzt bekomme ich so eine Sperrung mit der Aufforderung, neu zu installieren
Da kontrolliere ich eben als Erstes mal meinen Traffic! Und konsultiere, wenn mir die Voraussetzungen fehlen, einen Fachmann. Stelle ich oder der Fachmann fest, das mein PC nicht infrage kommt, aber trotzdem über mein Konto SPAM versendet wird, muß ich davon ausgehen, das entweder mein Konto gehackt wurde oder ich mit meinen Zugangsdaten fahlässig umgegangen bin.
Ein "gehacktes Mailkonto" habe ich noch nirgendwo gesehen - aber schon einige Male weitergegebene Daten. Oder solche, bei denen das PW aus 1234 bestand.
Nun mache ich den Comp platt und spiele das Image zurück, dann ist doch der Comp immer noch eine Spamschleuder, oder nicht?
Bei einem mißbrauchten Konto - ja!
Also Kontodaten ändern, zumindestens ein sicheres Passwort verwenden. Und selbiges regelmäßig ändern.
Wenn ein Comp ein paar Wochen läuft, kann man sich ja nicht sicher sein, dass der Comp noch sauber ist
Doch, jedenfalls mit einer an Sicherheit grenzender Wahrscheinlichkeit, wenn man einige wenige Dinge beachtet.
Als da sind
- die permanente Überwachung des Traffic.
Außer der (in meinem Blickfeld befindlichen) Traffic- Lumi des Routers verwende ich noch einen Traffic Monitor.
- wöchentliche Prüfung des/der PC mittel hijackthis.
Ich denke, da kann man schon sehr beruhigt sein.
Und habe ich mir (oder einer der von mir betreuten PCs) doch mal Schadsoftware eingefangen, spiele ich mein garantiert sauberes Image zurück.
Weil ich mich nämlich selbst kategorisch an meinen (ab und an belächelten) Vorschlag der Image- Erstellung halte:
...nach einem Neuaufsatz, wenn alle Programme neu installiert wurden
Bei "meiner" Methode mußte noch nie ein einziges Programm neu installiert werden.
Und Schadsoftware hat sich bislang immer und ausschließlich in der Systempartition angesiedelt - mir ist nicht ein einziges aktives Schadprogramm bekannt, welches sich im Datenbereich angesiedelt hatte.
Übrigens:
Das alles ohne Internetverbindung
Es wurde und wird nicht die Internet- Verbindung gesperrt.
Es wird das Mailkonto gesperrt!
Und das ist wohl etwas gang was anderes.
Hallo Jürgen.
Danke für deine Infos.
Diese Probleme habe und hatte ich noch nie. Entweder bin ich ein Glückskind, oder Pflege meinen Comp. Ich hatte 1995 den ersten und auch letzten Virus Namens Junkie. Der war aber nicht aus dem Netz, sondern der war auf einer Diskette.
Übrigens:
Das alles ohne Internetverbindung
Ich meinte damit, dass ein Neuaufsatz ohne aktiven Internetzugang gemacht werden sollte. Weil ja noch keine Schutzprogramme installiert sind.
Gr
...wenn mein Comp Teil eines Botnetzes ist, merke ich das u.U. gar nicht
richtig, vor allem wenn ich einen aktuellen - schnellen - PC habe.
Nun mache ich den Comp platt und spiele das Image zurück, dann ist doch der Comp immer noch eine Spamschleuder, oder nicht?
Botnetze, Viren und Trojaner siedeln sich heute im Allgemeinen im Betriebssystem ein. Um ein sauberes Betriebssystem zu erhalten, sollte eine Sicherung eingespielt werden, die nach der ersten Installation erstellt worden ist. Ein Sicherung des Betriebssystems nach einer Laufzeit von vielleicht einem halben Jahr einzuspielen macht keinen Sinn. Dort können schon jede Menge Schweinereien drin sein, die noch gar nicht bemerkt worden sind.
- die permanente Überwachung des Traffic.
Außer der (in meinem Blickfeld befindlichen) Traffic- Lumi des Routers verwende ich noch einen Traffic Monitor.
Lampen sind nicht überall vorhanden. Traffic-Monitore werden genauso von Botnetzen blockiert wie die Virenscanner. Auch die Internetseiten mit Viren und Trojanererkennung oder Abhandlung werden blockiert, sind also nicht mehr aufrufbar. Übrigens ein untrügliches Zeichen für Botnetzbefall.
Es wurde und wird nicht die Internet- Verbindung gesperrt.
Es wird das Mailkonto gesperrt!
Und das ist wohl etwas gang was anderes.
Wenn ein Provider eine Sperre wegen Spamschleudern ausspricht, dann ist es die Internetverbindung, die gesperrt wird. Botnetze bedienen sich im Allgemeinen nicht meines Mailkontos sondern bringen alles mit, um eigenständig und unbemerkt Mails zu versenden.
@Jokeman
Ich meinte damit, dass ein Neuaufsatz ohne aktiven Internetzugang gemacht werden sollte. Weil ja noch keine Schutzprogramme installiert sind.
Vorsicht ist sehr gut, aber wenn man hinter einem guten Router arbeitet, muss man nicht sofort mit einem Befall rechnen.
Ich betreibe jetzt seit etwa einem viertel Jahr meinen Haupt-PC absichtlich ungeschützt hinter einem Router um Win7 zu testen. Lediglich der Win - eigene Schutz ist aktiv. Bisher ist es mir noch nicht gelungen mit meinen Mitteln einen Malwarebefall nachzuweisen. Das soll aber keine Empfehlung für irgendjemanden sein, das nachzuahmen. Ich weiß was ich mache und weiß mir auch im Fall des Falles zu helfen.
Hallo Leute,
habe erstmal ganz interessiert Eure teilweise recht bissigen und etwas zu emotionalen Beiträge gelesen. Beschimpfungen bringen nichts.
Ähnliche Aufforderungen von Providern kommen mir immer mehr zu Ohren. Offensichtlich passen die Provider besser auf (zum Glück), aber auch die Schadsoftware wird immer raffinierter.
Vielleicht darf ich aus meiner Sicht ein paar Hinweise geben:
1) Es ist mittlerweile nicht möglich, den Befall eines Rechners in jedem Fall nachzuweisen. Schon gar nicht mit einem Virenscanner, der in einem laufenden Betriebssystem arbeitet.
Es gibt mittlerweile extreme Rootkits, die kaum nachweisbar sind. Weiterhin gibt es Schadsoftware, die sich auf dem PC einnistet, indem sie sich in eine versteckte Partition legt, sich bei jedem Neustart zuerst ausführen lässt und das installierte Betriebssystem quasi als eine virtuelle Maschine betreibt. Es soll sogar Schadsoftware mit Nutzung von BIOS-Bereichen geben.
2) Virenscan mit installieren Scannern und Onlinescannern sind zwar kein Fehler, dürften aber wenig bringen. Besser sind auf jeden Fall bootbare "Reiniger" a la Desinfect/Knoppicillin von der c't.
3) Auf jeden Fall bei Verdacht und längeren Problemen System neu installieren.
Wie neu installieren?
1) System erstmal komplett installieren. Keinen Internetzugang herstellen. Meinetwegen telefonisch aktivieren (nur bei Windows nötig). Benötigte Software in aktuellen Versionen installieren. Auch Sicherheitssoftware. Evtl. von vorher hergestellter DVD System patchen.
2) Von diesem "Zwischensystem" ein Image herstellen, auf DVD brennen und/oder auf ext. HD legen.
3) Jetzt System ans Internet, sofort alle aktuellen System. und Programm-Updates einspielen.
4) Normale Arbeit und aufpassen.
5) Vielleicht ab und zu vom hoffentlich sauberen System ein Image anfertigen.
Bei Problemen spiele ich das saubere Image ein und kann darauf relativ schnell aufsetzen.
Und noch eine Bemerkung: Für Internet sind Linuxen immer noch eine relativ sichere Lösung.
jueki
InvisibleBot
Conqueror
Ventox
Jokeman
