Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.213 Themen, 94.155 Beiträge

T-Online warnt Kunden vor Schadsoftware auf ihren Rechnern?

InvisibleBot am 14.03.2010, 15:52 / 24 Antworten / Flachansicht

Ich hatte am Donnerstag den mittlerweile zweiten Bekannten auf der Matte stehen, der von seinem Internetprovider (T-Online) eine Mail bekommen hat in der es heißt sein Rechner sei von einer Schadsoftware befallen und Mitglied in einem Botnetz. In der Mail (4 Seiten lang) heißt es unter anderem, dass von seinem Rechner aus Spam-Mails versendet wurden in denen für Viagra und Glücksspiele geworben wird. Deshalb wurde der Zugriff auf sein E-Mail-Konto und einige Ports für den E-Mail-Versand gesperrt.
(Die Mail habe ich nicht gesehen, der Inhalt wurde mir so geschildert, auch von dem Anderen Bekannten - der hatte sein Schlepptop aber schon in Eigenregie neu installiert und mir erst hinterher von der Mail erzählt.)

Er soll seinen PC neu installieren, erst dann werden die Beschränkungen wieder aufgehoben.

Nun, ich hab mir die Kiste dann mal angesehen und konnte nichts feststellen. Er hat ein voll aktuelles Antivir drauf, alle Sicherheitsupdates sind im WinXP drin und die Windows-Firewall ist aktiv. Dazu ist er normal noch von seinem Router geschützt. Die Log-Datei von Antivir ist sauber, es wurde noch nie was kritisches gefunden. Er hat den PC auch regelmäßig alle 2-3 Wochen vollständig scannen lassen.
Hab die Platte dann an einen meiner PCs angeschlossen und den Norton 2010 von meinem PC sowie die Onlinescanner von Bitdefender und Kaspersky auf seine Platte losgelassen. Anschließend sicherheitshalber auch noch PC-Cillin und ClamAV von einer Knoppix-CD aus. Keiner hat etwas gefunden.

Dazu muss ich sagen, dass sein Internetanschluss nur von diesem einen PC genutzt wird, und das per Kabel, ein W-LAN Netzwerk hat er nicht. Also auch keine Möglichkeit, dass sein Anschluss von irgendjemand mitgenutzt wird.

Nun stellt sich mir die Frage, wie die Telekom eigentlich feststellt, dass eine Infektion vorliegt? Anlysieren die die SMTP-Ports und schauen nach was da versendet wird? Kann mir nicht vorstellen, dass die das dürfen... Und warum wird der Zugang zu seiner E-Mail-Adresse gesperrt? Wenn ein Trojaner drauf ist, der Spam raushaut, dann erfolgt das doch anonymisiert über den Trojaner selbst, und nicht über das auf dem PC eingerichtete Postfach, oder sehe ich da was falsch?

Er hat inzwischen mit der Telekom gesprochen und denen geschildert dass der PC überprüft wurde und offenbar sauber ist. Aber die wollen die Beschränkungen erst wieder aufheben, wenn der PC neu installiert wurde. Das bringt mich zur nächsten Frage: Wie bitteschön wollen die Telekomiker feststellen ob ein PC neu installiert wurde oder nicht? Das können die ja gar nicht, außer vielleicht sie sniffen aus der Registrierung des Betriebssystems bei MS den Installationscode heraus - der verschlüsselt übertragen wird. Das darf T-Online aber ganz sicher nicht. Und wenn die Registrierung per Telefon gemacht wird haut das auch nicht hin.

Also was soll das Ganze, könnt ihr euch einen Reim darauf machen? Viel Text, ich weiß - Danke fürs Lesen!

      In einem ähnlichen Fall in meiner Umgebung betraf das Vodafone - vormals ... jueki 14.03.2010, 16:10
    
      Antivir ist kein Argument........ Botnetz heißt primär keinVirus sondern ... Conqueror 14.03.2010, 16:43
    
      Es wurde da anscheinend einfach der Mailspezifische Traffic überwacht - ... InvisibleBot 14.03.2010, 19:21
    
      Glaube ich nicht. Den Absender einer E-Mail kann man fälschen - und bei ... Conqueror 15.03.2010, 18:58
    
      bestimmte Dinge im Header lassen sich NICHT fälschen. Alle Absenderinfos ... InvisibleBot 15.03.2010, 21:19
    
      Ganz einfach, weil es offenbar falscher Alarm ist. So einfach kannst Du es ... Conqueror 16.03.2010, 18:32
    
      Er soll seinen PC neu installieren, erst dann werden die Beschränkungen ... Ventox 14.03.2010, 20:12
    
      Und warum macht er es nicht? Ganz einfach, weil es offenbar falscher Alarm ... InvisibleBot 14.03.2010, 21:48
    
      Ganz einfach, weil es offenbar falscher Alarm ist. Und das hast Du ... Ventox 14.03.2010, 22:02
    
      seufz Und das hast Du herausgefunden? Lesen kannst Du schon, oder? Ich mach ... InvisibleBot 14.03.2010, 22:42
    
      Lesen kannst Du schon, oder? Leider nicht, ich kann nur schreiben. - Du ... Ventox 15.03.2010, 09:15
    
      Tut mir leid, aber ich habe die entsprechende Stelle nicht gefunden. ... InvisibleBot 15.03.2010, 20:58
    
      Bitte:Wenn nun jemand befürchtet, das sein Provider seine E-Mails mitliest, ... Ventox 16.03.2010, 09:50
    
      Ganz einfach, weil es offenbar falscher Alarm ist. Wie willst Du das ... Conqueror 16.03.2010, 18:30
    
      Leider ist es so, die Provider lesen die Mails mit und dürfen es offenbar ... speedy27 14.03.2010, 21:18
    
      Leider ist es so, die Provider lesen die Mails mit und dürfen es offenbar ... InvisibleBot 14.03.2010, 22:08
    
      Hallo, ein Arbeitskollege hatte das selbe Problem. Der PC wurde bei uns in ... andi19831 14.03.2010, 23:45
    
      Die Provider werten auch den Inhalt der Mails aus, natürlich nicht per ... speedy27 15.03.2010, 10:03
    
      Bei dieser debatte habe ich irgendwe den Eindruck, das der Threadstarter ... jueki 16.03.2010, 10:09
    
      Hi Jürgen. Dies ist eine Frage und keine Meinung zu dem Thread Wie ist das ... Jokeman 16.03.2010, 13:52
    
      ...wenn mein Comp Teil eines Botnetzes ist, merke ich das u.U. gar nicht Ich ... jueki 16.03.2010, 14:49
    
      Hallo Jürgen. Danke für deine Infos. Diese Probleme habe und hatte ich ... Jokeman 16.03.2010, 16:30
    
      ...wenn mein Comp Teil eines Botnetzes ist, merke ich das u.U. gar nicht ... speedy27 16.03.2010, 21:05
    
        andix.de InvisibleBot „T-Online warnt Kunden vor Schadsoftware auf ihren Rechnern?“
      
        16.03.2010, 20:05 Optionen
      
          Hallo Leute,

          habe erstmal ganz interessiert Eure teilweise recht bissigen und etwas zu emotionalen Beiträge gelesen. Beschimpfungen bringen nichts.

          Ähnliche Aufforderungen von Providern kommen mir immer mehr zu Ohren. Offensichtlich passen die Provider besser auf (zum Glück), aber auch die Schadsoftware wird immer raffinierter.

          Vielleicht darf ich aus meiner Sicht ein paar Hinweise geben:

          1) Es ist mittlerweile nicht möglich, den Befall eines Rechners in jedem Fall nachzuweisen. Schon gar nicht mit einem Virenscanner, der in einem laufenden Betriebssystem arbeitet.

          Es gibt mittlerweile extreme Rootkits, die kaum nachweisbar sind. Weiterhin gibt es Schadsoftware, die sich auf dem PC einnistet, indem sie sich in eine versteckte Partition legt, sich bei jedem Neustart zuerst ausführen lässt und das installierte Betriebssystem quasi als eine virtuelle Maschine betreibt. Es soll sogar Schadsoftware mit Nutzung von BIOS-Bereichen geben.

          2) Virenscan mit installieren Scannern und Onlinescannern sind zwar kein Fehler, dürften aber wenig bringen. Besser sind auf jeden Fall bootbare "Reiniger" a la Desinfect/Knoppicillin von der c't.

          3) Auf jeden Fall bei Verdacht und längeren Problemen System neu installieren.

          Wie neu installieren?

          1) System erstmal komplett installieren. Keinen Internetzugang herstellen. Meinetwegen telefonisch aktivieren (nur bei Windows nötig). Benötigte Software in aktuellen Versionen installieren. Auch Sicherheitssoftware. Evtl. von vorher hergestellter DVD System patchen.

          2) Von diesem "Zwischensystem" ein Image herstellen, auf DVD brennen und/oder auf ext. HD legen.

          3) Jetzt System ans Internet, sofort alle aktuellen System. und Programm-Updates einspielen.

          4) Normale Arbeit und aufpassen.

          5) Vielleicht ab und zu vom hoffentlich sauberen System ein Image anfertigen.

          Bei Problemen spiele ich das saubere Image ein und kann darauf relativ schnell aufsetzen.

          Und noch eine Bemerkung: Für Internet sind Linuxen immer noch eine relativ sichere Lösung.

          MfG - Andreas
        
             bei Antwort benachrichtigen