Viren, Spyware, Datenschutz 11.214 Themen, 94.188 Beiträge

Verfolgung starten Optionen

T-Online warnt Kunden vor Schadsoftware auf ihren Rechnern?

InvisibleBot / 24 Antworten / Flachansicht Nickles

Ich hatte am Donnerstag den mittlerweile zweiten Bekannten auf der Matte stehen, der von seinem Internetprovider (T-Online) eine Mail bekommen hat in der es heißt sein Rechner sei von einer Schadsoftware befallen und Mitglied in einem Botnetz. In der Mail (4 Seiten lang) heißt es unter anderem, dass von seinem Rechner aus Spam-Mails versendet wurden in denen für Viagra und Glücksspiele geworben wird. Deshalb wurde der Zugriff auf sein E-Mail-Konto und einige Ports für den E-Mail-Versand gesperrt.
(Die Mail habe ich nicht gesehen, der Inhalt wurde mir so geschildert, auch von dem Anderen Bekannten - der hatte sein Schlepptop aber schon in Eigenregie neu installiert und mir erst hinterher von der Mail erzählt.)

Er soll seinen PC neu installieren, erst dann werden die Beschränkungen wieder aufgehoben.

Nun, ich hab mir die Kiste dann mal angesehen und konnte nichts feststellen. Er hat ein voll aktuelles Antivir drauf, alle Sicherheitsupdates sind im WinXP drin und die Windows-Firewall ist aktiv. Dazu ist er normal noch von seinem Router geschützt. Die Log-Datei von Antivir ist sauber, es wurde noch nie was kritisches gefunden. Er hat den PC auch regelmäßig alle 2-3 Wochen vollständig scannen lassen.
Hab die Platte dann an einen meiner PCs angeschlossen und den Norton 2010 von meinem PC sowie die Onlinescanner von Bitdefender und Kaspersky auf seine Platte losgelassen. Anschließend sicherheitshalber auch noch PC-Cillin und ClamAV von einer Knoppix-CD aus. Keiner hat etwas gefunden.

Dazu muss ich sagen, dass sein Internetanschluss nur von diesem einen PC genutzt wird, und das per Kabel, ein W-LAN Netzwerk hat er nicht. Also auch keine Möglichkeit, dass sein Anschluss von irgendjemand mitgenutzt wird.

Nun stellt sich mir die Frage, wie die Telekom eigentlich feststellt, dass eine Infektion vorliegt? Anlysieren die die SMTP-Ports und schauen nach was da versendet wird? Kann mir nicht vorstellen, dass die das dürfen... Und warum wird der Zugang zu seiner E-Mail-Adresse gesperrt? Wenn ein Trojaner drauf ist, der Spam raushaut, dann erfolgt das doch anonymisiert über den Trojaner selbst, und nicht über das auf dem PC eingerichtete Postfach, oder sehe ich da was falsch?

Er hat inzwischen mit der Telekom gesprochen und denen geschildert dass der PC überprüft wurde und offenbar sauber ist. Aber die wollen die Beschränkungen erst wieder aufheben, wenn der PC neu installiert wurde. Das bringt mich zur nächsten Frage: Wie bitteschön wollen die Telekomiker feststellen ob ein PC neu installiert wurde oder nicht? Das können die ja gar nicht, außer vielleicht sie sniffen aus der Registrierung des Betriebssystems bei MS den Installationscode heraus - der verschlüsselt übertragen wird. Das darf T-Online aber ganz sicher nicht. Und wenn die Registrierung per Telefon gemacht wird haut das auch nicht hin.

Also was soll das Ganze, könnt ihr euch einen Reim darauf machen? Viel Text, ich weiß - Danke fürs Lesen!

- Beat the machine that works in your head! -
bei Antwort benachrichtigen
In einem ähnlichen Fall in meiner Umgebung betraf das Vodafone - vormals ... jueki
Antivir ist kein Argument........ Botnetz heißt primär keinVirus sondern ... Conqueror
Es wurde da anscheinend einfach der Mailspezifische Traffic überwacht - ... InvisibleBot
Glaube ich nicht. Den Absender einer E-Mail kann man fälschen - und bei ... Conqueror
bestimmte Dinge im Header lassen sich NICHT fälschen. Alle Absenderinfos ... InvisibleBot
Ganz einfach, weil es offenbar falscher Alarm ist. So einfach kannst Du es ... Conqueror
Er soll seinen PC neu installieren, erst dann werden die Beschränkungen ... Ventox
Und warum macht er es nicht? Ganz einfach, weil es offenbar falscher Alarm ... InvisibleBot
Ganz einfach, weil es offenbar falscher Alarm ist. Und das hast Du ... Ventox
seufz Und das hast Du herausgefunden? Lesen kannst Du schon, oder? Ich mach ... InvisibleBot
Lesen kannst Du schon, oder? Leider nicht, ich kann nur schreiben. - Du ... Ventox
Tut mir leid, aber ich habe die entsprechende Stelle nicht gefunden. ... InvisibleBot
Bitte:Wenn nun jemand befürchtet, das sein Provider seine E-Mails mitliest, ... Ventox
Ganz einfach, weil es offenbar falscher Alarm ist. Wie willst Du das ... Conqueror
Leider ist es so, die Provider lesen die Mails mit und dürfen es offenbar ... speedy27
Leider ist es so, die Provider lesen die Mails mit und dürfen es offenbar ... InvisibleBot
Hallo, ein Arbeitskollege hatte das selbe Problem. Der PC wurde bei uns in ... andi19831
Die Provider werten auch den Inhalt der Mails aus, natürlich nicht per ... speedy27
Bei dieser debatte habe ich irgendwe den Eindruck, das der Threadstarter ... jueki
Hi Jürgen. Dies ist eine Frage und keine Meinung zu dem Thread Wie ist das ... Jokeman
jueki Jokeman „Hi Jürgen. Dies ist eine Frage und keine Meinung zu dem Thread Wie ist das...“
Optionen
...wenn mein Comp Teil eines Botnetzes ist, merke ich das u.U. gar nicht
Ich denke mir, ein User, der in seinem PC nicht nur eine Schreibmaschine sieht, sollte das schon bemerken.
Zum Beispiel und im einfachsten Fall daran, das die Lumi seiner Netzwerkkarte oder seines Routers in einem fort blinkt.

Jetzt bekomme ich so eine Sperrung mit der Aufforderung, neu zu installieren
Da kontrolliere ich eben als Erstes mal meinen Traffic! Und konsultiere, wenn mir die Voraussetzungen fehlen, einen Fachmann. Stelle ich oder der Fachmann fest, das mein PC nicht infrage kommt, aber trotzdem über mein Konto SPAM versendet wird, muß ich davon ausgehen, das entweder mein Konto gehackt wurde oder ich mit meinen Zugangsdaten fahlässig umgegangen bin.
Ein "gehacktes Mailkonto" habe ich noch nirgendwo gesehen - aber schon einige Male weitergegebene Daten. Oder solche, bei denen das PW aus 1234 bestand.

Nun mache ich den Comp platt und spiele das Image zurück, dann ist doch der Comp immer noch eine Spamschleuder, oder nicht?
Bei einem mißbrauchten Konto - ja!
Also Kontodaten ändern, zumindestens ein sicheres Passwort verwenden. Und selbiges regelmäßig ändern.

Wenn ein Comp ein paar Wochen läuft, kann man sich ja nicht sicher sein, dass der Comp noch sauber ist
Doch, jedenfalls mit einer an Sicherheit grenzender Wahrscheinlichkeit, wenn man einige wenige Dinge beachtet.
Als da sind
- die permanente Überwachung des Traffic.
Außer der (in meinem Blickfeld befindlichen) Traffic- Lumi des Routers verwende ich noch einen Traffic Monitor.
- wöchentliche Prüfung des/der PC mittel hijackthis.
Ich denke, da kann man schon sehr beruhigt sein.
Und habe ich mir (oder einer der von mir betreuten PCs) doch mal Schadsoftware eingefangen, spiele ich mein garantiert sauberes Image zurück.
Weil ich mich nämlich selbst kategorisch an meinen (ab und an belächelten) Vorschlag der Image- Erstellung halte:

http://www.computerhilfen.de/jueki/Image-Erstellung.pdf

...nach einem Neuaufsatz, wenn alle Programme neu installiert wurden
Bei "meiner" Methode mußte noch nie ein einziges Programm neu installiert werden.
Und Schadsoftware hat sich bislang immer und ausschließlich in der Systempartition angesiedelt - mir ist nicht ein einziges aktives Schadprogramm bekannt, welches sich im Datenbereich angesiedelt hatte.

Übrigens:
Das alles ohne Internetverbindung
Es wurde und wird nicht die Internet- Verbindung gesperrt.
Es wird das Mailkonto gesperrt!
Und das ist wohl etwas gang was anderes.

Jürgen
- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Hallo Jürgen. Danke für deine Infos. Diese Probleme habe und hatte ich ... Jokeman
...wenn mein Comp Teil eines Botnetzes ist, merke ich das u.U. gar nicht ... speedy27
Hallo Leute, habe erstmal ganz interessiert Eure teilweise recht bissigen ... andix.de