Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

PC/Laptop/Netzwerk gehackt?

CGWS / 37 Antworten / Baumansicht Nickles

Hallo Leute,

folgende Situation:
Gestern habe ich von meinem Vater eine E-Mail mit einem Link erhalten. Da als Absender mein Vater in der Kopfzeile stand, dachte ich an nichts schlimmes und habe den Link geöffnet. Prompt wurde ich auf eine Webseite umgeleitet, die mit HCG-Tropfen wirbt. Nun wurde ich aufmerksam.
In der Kopfzeile standen verschiedene Absender, an die mein Vater normalerweise nicht regelmäßig E-Mails schreibt. Meine Mutter hatte von ihm auch eine E-Mail erhalten, aber mit einem anderen Link und anderen E-Mail Adressen in der Empfängerzeile. Wie viele Leute E-Mails erhalten haben kann ich leider nicht sagen.
Wir haben dann noch einen Virenscan mit Avira Anti-Vir Free AntiVirus gemacht, doch leider wurde nichts gefunden.
Am gleichen Tag hatte ich den Laptop meines Vater mit in der Uni und war per WPA2-Enterprise ins Uni-WLAN eingeloggt. Könnte es sein, dass dort etwas passiert ist? Den Laptop haben wir auch schon mit der gleichen Antiviren-Programm überprüft + zusätzlich noch Kaspersky Rescue Disk 10. Bei beiden wurde nichts gefunden. Der Laptop hat 2 Partitionen mit Windows Vista und Windows 7. In der Uni hatte ich Windows 7 benutzt, wie auch daheim als das Virenprogramm nach eventuellen Bedrohungen gesucht hat.

Ich hoffe es ist klar geworden, was passiert ist. Wenn irgendetwas unklar ist oder ich etwas noch genauer erklären soll sagt Bescheid. Ich bin für jede Hilfe dankbar.

Vielen Dank im Voraus!

bei Antwort benachrichtigen
mi~we CGWS „PC/Laptop/Netzwerk gehackt?“
Optionen

Kann natürlich sein, dass da nur das Mail-Konto deines Vaters gekapert wurde und jetzt zum Versenden von Spam missbraucht wird. Auf jeden Fall sollte dein Vater das Passwort für sein Mail-Konto sofort ändern.

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
CGWS mi~we „Kann natürlich sein, dass da nur das Mail-Konto deines...“
Optionen

Hallo,

was ich noch vergessen hatte zu erwähnen ist, dass ich das Passwort von seinem Account natürlich schon geändert habe.
Hat irgendjemand eine Idee wie es genau passiert sein könnte, oder was ich noch unternehmen kann?

Gruß

bei Antwort benachrichtigen
shrek3 CGWS „Hallo, was ich noch vergessen hatte zu erwähnen ist, dass...“
Optionen

Benutzt dein Vater ein Emailprogramm oder loggt er sich per Webmail direkt auf den Seiten seines Emailproviders ein?

Loggt sich dein Vater auch schon mal von einem anderen Rechner aus in seinen Mailaccount ein (z.B. auf der Arbeit)?

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
IRON67 CGWS „PC/Laptop/Netzwerk gehackt?“
Optionen
dachte ich an nichts schlimmes und habe den Link geöffnet.

Lerne daraus. Es darf keine Ausnahmen geben. Man klickt nicht auf Links in Emails, wenn man nicht exakt weiß, dass sie vom Absender stammen. Am besten nicht mal dann.

Und exakt wissen kannst du es nur bei verschlüsselten Mails, z.B. mit GnuPG.

http://www.iron-city.de/index.php/konzept/85-umgang-mit-emails

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS Nachtrag zu: „PC/Laptop/Netzwerk gehackt?“
Optionen

Hallo,

auf dem Laptop meines Vater ist Windows Live Mail installiert, sowohl unter Windows 7 als auch unter Windows Vista. Dieses E-Mail Programm wird primär genutzt, wenn er mit dem Laptop arbeitet.
Er hat noch einen klassischen PC mit Windows XP und Outlook Express, als E-Mail Programm. Ja ich weiß, dass OE nicht mehr sicher ist, hab es auch versucht meinem Vater zu erklären, aber ich denke mal ihr kennt die Problematik. Wenn er vor einem Computer sitzt, sitzt er hauptsächlich vor dem PC. Der Laptop wird nicht so oft genutzt wie der PC.

Was dafür spricht das es irgendetwas mit dem Laptop zu tun haben muss ist, dass bei Windows Live Mail zwei E-Mail Konten eingerichtet sind. Von beiden wurde, meines Wissens nach, E-Mails ohne sein Wissen versendet.

@IRON67: Ja, da gebe ich dir Recht. Ich selber ärgere mich auch darüber, dass ich einfach den Link geöffnet habe.

Was meint ihr dazu?

Gruß

bei Antwort benachrichtigen
IRON67 CGWS „Hallo, auf dem Laptop meines Vater ist Windows Live Mail...“
Optionen

Da kein AV zuverlässig ist, wird kein Scanergebnis Gewissheit bringen.

Ich sehe - was Fernanalysen betrifft - nur eine Chance: mach auf den entsprechenden Rechnern eine Analyse mit dem Tool O.T.L., lade die resultierende OTL.txt irgendwo hoch und verlinke sie hier, damit man sie sich ansehen kann. Ist quasi mein Hobby und ich weiß daher, worauf ich zu achten habe.

Ich hab oben eine bebilderte Anleitung aus dem Chip-Forum verlinkt. Das Posten des Logs weicht dann natürlich ab. Da es hier keine Möglichkeit zum platzsparenden Spoilern gibt, wäre das hier wohl suboptimal.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Da kein AV zuverlässig ist, wird kein Scanergebnis...“
Optionen

Hallo IRON67,

hier der Link zu dem Ergebnis:

http://pastebin.com/AKJp40nq

Vielen Dank für deine Mühen.

Gruß
cgws

bei Antwort benachrichtigen
IRON67 CGWS „Hallo IRON67, hier der Link zu dem...“
Optionen
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 13.0...

Nur am Rande: Hast du schon auf 13.0.1 upgedatet?
 
O33 - MountPoints2\{b9eb13e2-8210-11e1-8b5c-00214fb46399}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\bin\index.html

Wahrscheinlich aktive AutoRun-Malware!

Damit wäre dann ein Neuaufsetzen mit allem Drum und Dran angesagt.

Was für ein Datenträger ist G:? Etwa ein Stick oder eine externe Platte? Nur wenns eine CD/DVD wäre, bestünde noch Hoffnung auf Fehlalarm.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox...“
Optionen

Hallo IRON67,

vielen Dank erst einmal für deine Hilfe.

Nein hatte ich noch nicht, hab ich jetzt gemacht. Mein Vater hatte den Laptop seitdem auch nicht benutzt.

Bei dem Laptop handelt es sich um einen Sony Vaio VGN-FW21Z. Dieser zeigt im Arbeitsplatz nur 2 Partitionen (C: und D:) und als Wechselmedium das Blu-Ray Laufwerk (E:).
Wenn ich "verstecke Objekte anzeigen" aktiviere, dann erscheint noch MemoryStick (F:).
Scheint wohl, dass dann der PC befallen ist, oder? Weißt du um was es sich genau da handelt? Ist damit auch Windows Vista betroffen?

Gruß
cgws

bei Antwort benachrichtigen
IRON67 CGWS „Hallo IRON67, vielen Dank erst einmal für deine Hilfe. Nein...“
Optionen
MemoryStick (F:)

Auch bei dem wird auf eine AutoRun.exe zugegriffen, was bei einem Memorystick eher untypisch ist. 

O33 - MountPoints2\{d923704a-34fe-11df-9f0d-00214fb46399}\Shell\AutoRun\command - "" = F:\AutoRun.exe

Scheint wohl, dass dann der PC befallen ist, oder?

Ja, allerdings. Was genau es ist, weiß ich allerdings nicht. Falls es dir gelingt, besagte EXE per Dateiexplorer aufzuspüren, könntest du eine Kopie (für den Fall, dass das Original durch einen anderen Malware-Prozess überwacht wird) bei www.virustotal.com , www.virscan.org oder http://virusscan.jotti.org/de hochladen und testen lassen.

Ist damit auch Windows Vista betroffen?

Du meinst damit die Parallel-Installation auf demselben PC? Ja klar.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Auch bei dem wird auf eine AutoRun.exe zugegriffen, was bei...“
Optionen

Hallo IRON67,

vielen Dank für die Informationen.
Supsekt ist vor allem, dass in F: aktuell kein MemorStick steckt.

Diese Frage kommt jetzt von meinem Vater. Ich selber kann mir die Antwort schon denken, aber muss sie stellen. Gibt es noch eine andere Möglichkeit, als eine Neuinstallation?
Hier noch ein paar andere Fragen:

  1. Kann ich den den Rest der Daten noch sichern, oder was kann ich machen um noch eine Kopie anzulegen bzw. Teiel zu sichern?
  2. Was ist mit der geschützen Recovery Partition von Sony? Muss die auch gelöscht werden? Ist vielleicht G: die geschützte Recovery Partition? Laut der Datenträgerverwaltung ist ihr kein Laufwerksbuchstabe zugeordnet.
  3. Können noch andere PCs im Netzwerk kompromittiert sein?
Gruß
cgws
bei Antwort benachrichtigen
IRON67 CGWS „Hallo IRON67, vielen Dank für die Informationen. Supsekt ist...“
Optionen
Gibt es noch eine andere Möglichkeit, als eine Neuinstallation?

Nein.

Kann ich den den Rest der Daten noch sichern

Klar. Xubuntu auf einem sicheren PC brennen, damit die Seuchenkisten booten und Daten kopieren (keine ausführbaren Dateien, nur Fotos und Dokumente).

Was ist mit der geschützen Recovery Partition von Sony?

Es muss ein sauberer Neuanfang werden, zumal auch eine solche Partition kompromittiert sein kann.

Können noch andere PCs im Netzwerk kompromittiert sein?

Wenn über LAN oder WLAN Verbindung im Infektionszeitraum bestand: natürlich. Viele Malware ist netzwerkfähig.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Nein. Klar. Xubuntu auf einem sicheren PC brennen, damit...“
Optionen

Hallo IRON67,

hier der Link zu meinem PC:

Gruß
cgws

P.S: Kann ich auch Hiren's Boot CD für die Datensicherung verwenden?

bei Antwort benachrichtigen
IRON67 CGWS „Hallo IRON67, hier der Link zu meinem...“
Optionen
[2012.05.29 09:38:50 | 000,330,240 | ---- | M] ((?)????) -- C:\Windows\MASetupCaller.dll
 
Da würden mich mal die Details der Dateieigenschaften interessieren.
Kann ich auch Hiren's Boot CD für die Datensicherung verwenden?

 Klar, sollte gehen. Sofern du das Überangebot an Tools überblickst.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „[2012.05.29 09:38:50 | 000,330,240 | ---- | M] (( ) ) --...“
Optionen

Hallo IRON67,

hattest du schon Zeit den zweiten Link auszuwerten?

Gruß
cgws

bei Antwort benachrichtigen
CGWS IRON67 „[2012.05.29 09:38:50 | 000,330,240 | ---- | M] (( ) ) --...“
Optionen
[2012.05.29 09:38:50 | 000,330,240 | ---- | M] ((?)????) -- C:\Windows\MASetupCaller.dll

Habe die Datei einmal bei Virustotal hochgeladen. Das Programm meinte, dass die Datei schon einmal analysiert worden ist und dann habe ich gesagt nicht noch einmal analysieren. Die letzte Analyse ist hier zu finden:

bei Antwort benachrichtigen
IRON67 CGWS „Habe die Datei einmal bei Virustotal hochgeladen. Das...“
Optionen
dann habe ich gesagt nicht noch einmal analysieren. Die letzte Analyse ist hier zu finden:

 Sieht soweit okay aus.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Sieht soweit okay aus.“
Optionen

Würdest du also sagen, dass mein PC in Ordnung ist?

Ich werde dann das Mini XP von Hiren's Boot CD zur Datensicherung verwenden.

Gruß

bei Antwort benachrichtigen
IRON67 CGWS „Würdest du also sagen, dass mein PC in Ordnung ist? Ich...“
Optionen

Ja, mach mal.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Ja, mach mal.“
Optionen

Vielen Dank für deine Informationen und Mühen. Ich werde mich dann am Wochenende oder so daran begeben.

Letzte Frage. Ist mein PC soweit okay? Hatte dir ja da auch den Link geschickt.

bei Antwort benachrichtigen
IRON67 CGWS „Vielen Dank für deine Informationen und Mühen. Ich werde...“
Optionen
Ist mein PC soweit okay?

Schrieb ich doch schon.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Schrieb ich doch schon.“
Optionen

Pardon. Ich war mir nicht sicher und habe lieber noch einmal nachgefragt.

Vielen vielen Dank für dein Hilfe!

bei Antwort benachrichtigen
the_mic CGWS „PC/Laptop/Netzwerk gehackt?“
Optionen

Nutzt dein Vater hotmail, yahoo, gmx oder einen anderen Freemailer? Die stehen derzeit massiv unter Beschuss. Ich bekomm fast täglich Spam von einem Bekannten, dessen Mailpasswort gehackt wurde.

Lösung: Dein Vater soll dringend das Passwort für sein Mailkonto ändern und ein möglichst langes Passwort verwenden.

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
CGWS the_mic „Nutzt dein Vater hotmail, yahoo, gmx oder einen anderen...“
Optionen

Hallo the_mic,

das Passwort wurde schon geändert, siehe oben. Trotzdem vielen Dank.

Zu deiner Frage. Ja, er nutzt eine GMX Adresse

Gruß
cgws

bei Antwort benachrichtigen
CGWS Nachtrag zu: „PC/Laptop/Netzwerk gehackt?“
Optionen

Hallo,

ist dieser PC auch sauber, oder infiziert?

http://pastebin.com/G0atdjED

Gruß
cgws

bei Antwort benachrichtigen
IRON67 CGWS „Hallo, ist dieser PC auch sauber, oder...“
Optionen

Bis auf einen Verweis auf Reste einer alten Java-Installation ( 6 U 24) nichts Auffälliges zu sehen. Aber OTL ist kein Malware-Scanner. Und auch kein Ersatz für jemanden direkt am PC.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Bis auf einen Verweis auf Reste einer alten Java-Installation...“
Optionen

Nach was sucht den OTL genau? Wie soll ich den PC denn nach Malware untersuchen?

Von der E-Mail Adresse, die von diesem PC hauptsächlich bedient wird wurden auch ähnliche Mails versendet. Sie sehen alle so in etwa aus:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. The following addresses failed:

<e-mailadressextraentfernt>

SMTP error from remote server after RCPT command:
host mail.rhone.ch[81.201.202.3]:
550 e-mailadressextraentfernt unknown user account

<e-mailadressextraentfernt>
<e-mailadressextraentfernt>

SMTP error from remote server after RCPT command:
host mxlb.ispgateway.de[80.67.18.126]:
554 Sorry, no mailbox here by that name.


--- The header of the original message is following. ---

Received: from msvc018.dlan.cinetic.de (msvc018.dlan.cinetic.de [172.19.126.59])
by mrelay.gmx.net (node=mrgmx001) with ESMTP (Nemesis)
id 0MY7ZA-1SNiUS2Rs0-00Vbpp; Tue, 26 Jun 2012 20:55:04 +0200
Received: from [182.177.223.203] by msvc018.dlan.cinetic.de with HTTP; Tue
Jun 26 20:55:04 CEST 2012
MIME-Version: 1.0
Message-ID: <trinity-ed10abe3-aa6d-49b8-83e9-18c5de889246-1340736904463@msvc018.dlan.cinetic.de>
From: e-mailadressextraentfernt
To: e-mailadressextraentfernt, e-mailadressextraentfernt,
e-mailadressextraentfernt, e-mailadressextraentfernt, e-mailadressextraentfernt,
e-mailadressextraentfernt, e-mailadressextraentfernt, e-mailadressextraentfernt
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 7bit
Importance: normal
Date: Tue, 26 Jun 2012 20:55:04 +0200 (CEST)
X-Priority: 3
X-Provags-ID: V02:K0:bqFqRa0EZlOTv8KOYuhulKHkLCH/XQt3TnCnRF0JxL/
lRy5I3QBKx2CRoumpRajm+BsB3eOgwfsRXFyCWKdNvXQn0XEba
A8pKvXCZwaKY0j8qzMzemkXNYYWCiIhmkkTsOFoZiK0i/BeOYk
glOPe+TV57f2tH4/DZqIiIY9L/+AUSf8yx7LfvxK8FGhzOhFLy
piyWDezRB2KIN1mDfLnXUFO5HW+VVOAEm8JpwvtGaLmNnzrPgx
yexCg3xeKNUdoSPIRfrUrWJpk5Ijb/xwY1aHXpkS+iSIg828Xr
5C03hjhg3o1ScCp+iOEFHhVC8LJGzfV71isy81O3dxlBftAgcs
bKM/HXUGclSpPt6h2lQ5hWg1HD36FkNXUS/Ipdo2EzITLb9MuI
NuUNOrnOSwpl5eJcdhm7g34j90jHpulis+wipxb3GjoOF8UDEW
ROKRS

Das Ganze ist heute passiert. Auch ich habe eine E-Mail von meiner Mutter erhalten mit diesem Inhalt. Sieht sehr ähnlich aus wie die Mails von meinem Vater

Gruß
cgws

bei Antwort benachrichtigen
IRON67 CGWS „Nach was sucht den OTL genau? Wie soll ich den PC denn nach...“
Optionen
Nach was sucht den OTL genau?

Nach gar nichts. Es erstellt eine Liste wichtiger System- und Software-Konfigurationsdaten, die es der Registry und sonstigen Fundstellen auf dem System entnimmt. Die Bewertung obliegt dem Benutzer - wenn er sich damit auskennt.

Es gibt Leute, die dann bei bestimmten Funden ein "Fixen" falscher oder überflüssiger Einstellungen empfehlen, aber davon ist abzuraten. Harmlose Fehlkonfigurationen kann man direkt im verantwortlichen Programm beheben und ernsthafte Gefahren durch Neuaufsetzen des Systems. Alles andere ist Pfusch.

Wie soll ich den PC denn nach Malware untersuchen?

Wie üblich. Wenn der Virenscanner was findet, dann ist das ernstzunehmen und wenn er nichts findet, dann kann das gleichermaßen heißen, dass er nur nichts erkannt hat oder dass wirklich nichts da ist. Russisch Roulette. Wie immer.

Wenn du das Risiko einer Infektion spürbar senken willst, ist jede andere Maßnahme wie das Aktuellhalten und sichere Konfigurieren oder der Verzicht auf überflüssige und fragwürdige Software wichtiger als ein Virenscanner.

Zu den Mails:

Völlig normale Reaktion eines Mailservers auf unzustellbare Mails, die in deinem oder deines Vaters/deiner Mutter Namen versendet wurden.

Spammer fälschen Adressen. Dagegen kannst du nichts tun. Oder existieren die verursachenden Originale bei deinem Mailprovider in deinem Gesendet-Ordner? Das hieße dann, dass dein Account geknackt ist und missbraucht wird.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Nach gar nichts. Es erstellt eine Liste wichtiger System-...“
Optionen

Hallo IRON67,

vielen Dank für die Erklärung.

Meine Mutter, wie auch mein Vater, benutzen POP für den Mailabruf und verwenden sonst keine mobilen Geräte um Mails zu versenden.
Was das Ganze aber nach einem Angriff aussehen lässt ist, dass an die Adressbücher, die in unterschiedlicher Größe sowohl bei GMX als auch lokal, vorliegen Mails versendet wurden. Viele der E-Mail Adressen findet man in dem lokalen Adressbuch.

Wie ist das zu erklären? Warum wird plötzlich von der Adresse meiner Mutter etwas versendet?

Reicht Anti-Vir als Schutz oder empfehlst du noch weitere?

bei Antwort benachrichtigen
IRON67 CGWS „Hallo IRON67, vielen Dank für die Erklärung. Meine Mutter,...“
Optionen
Viele der E-Mail Adressen findet man in dem lokalen Adressbuch. Wie ist das zu erklären?

Na das ist doch recht einfach. Die Leute, mit denen ihr per Mail in Kontakt seid, können sich doch ebenfalls mit Malware infiziert haben und dort steht IHR im Adressbuch. Also erhält die spionierende Malware dort alle nötigen Adressen.

Möglichkeit 2 (vor allem, wenn ihr alle beim selben Mail-Provider seid oder eure Adressen sich aus euren Klarnamen zusammensetzen) wäre das automatische Versenden des Spams mit "geratenen" bzw. automatisch generierten Adressen.

Warum wird plötzlich von der Adresse meiner Mutter etwas versendet?

Nicht VON der Adresse. MIT der Adresse. Du kannst doch auch eine Postkarte versenden und als Absender A. Merkel, Am Kupfergraben 6, Berlin draufschreiben.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Na das ist doch recht einfach. Die Leute, mit denen ihr per...“
Optionen

Hallo IRON67,

vielen Dank für das Erklären.

Du gehst also davon aus, dass die PCs nicht unbedingt infiziert sein müssen, sondern jmd. einfach unter dem Namen meiner Eltern SPAM Mails versendet?

Kannst du das oben aus dem E-Mail Beispiel sehen, dass jmd. unter unserem Namen versendet? Kann man mit dem IP-Adressen etwas machen?

Gruß
cgws

bei Antwort benachrichtigen
IRON67 CGWS „Hallo IRON67, vielen Dank für das Erklären. Du gehst also...“
Optionen
sondern jmd. einfach unter dem Namen meiner Eltern SPAM Mails versendet?

 Das ist eine naheliegende Variante. Ich sträube mich aber bei der Formulierung "Du gehst also davon aus".

Zu den Versendern:

182.177.223.203 ist nicht fest registriert für irgend eine Domain.

172.19.126.59 gehört zu einem Klasse-B Netz, einem LAN, WLAN oder DLAN.

cinetic.de ist obskur, da hier MYDYNDNS zum Einsatz kommt, also dynamische DNS-Adressen, die die Rückverfolgung erschweren bzw. die Herkunft verschleiern.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Das ist eine naheliegende Variante. Ich sträube mich aber...“
Optionen

Danke für die Erklärung.

Mein Vater versteht aber nicht wirklich, wie man an die kompletten E-Mail Adressen gekommen ist. Der PC muss doch gehackt worden sein. An manche Leute wurden schon seit längerem keine E-Mails versendet

bei Antwort benachrichtigen
IRON67 CGWS „Danke für die Erklärung. Mein Vater versteht aber nicht...“
Optionen
Mein Vater versteht aber nicht wirklich, wie man an die kompletten E-Mail Adressen gekommen ist. Der PC muss doch gehackt worden sein.

Ich schrieb es doch schon: Da muss nicht zwingend der EIGENE PC gehackt worden sein, sondern ein ANDERER PC, auf dem sich die Mailadresse deines Vaters usw. befindet, also vorzugsweise ein PC von Leuten, die IRGENDWANN mal mit ihm Mails ausgetauscht haben. Hinzu kommen noch Foren und Gästebücher, die die Spammer nach Adressen und Namen durchforsten - ebenfalls vollautomatisch.

Außerdem scheint er zu unterschätzen, wie einfach es für Spammer heute ist, beliebige Mailadressen per Spezialsoftware generieren zu lassen. Natürlich ergibt das abertausende falsche, nicht existente Adressen, aber das spielt bei ein paar Millionen Mails pro Tag keine Rolle. Es sind immer genug Volltreffer dabei.

Sieht man doch auch an deinem Mailbeispiel: Die Mail, die vergeblich verschickt wurde, ging an eine nicht existente, weil geratene Adresse.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Ich schrieb es doch schon: Da muss nicht zwingend der...“
Optionen

Ich denke mal damit müsst er es verstehen.

Ich hab aus dem Post oben extra die Mail Adressen entfernt. Diese E-Mail Adresse, die jetzt nicht mehr existiert gab es aber früher.

Du bist also der Meinung, dass es Spoofing war bzw. ist und sonst nichts?

bei Antwort benachrichtigen
IRON67 CGWS „Ich denke mal damit müsst er es verstehen. Ich hab aus dem...“
Optionen

Ich wiederhole mich ungern. Spoofing ist naheliegend, aber da ich nicht höchstpersönlich vor Ort die betroffenen Rechner untersuchen kann, kann ich natürlich auch nicht ausschließen, dass sie dennoch infiziert sind.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
CGWS IRON67 „Ich wiederhole mich ungern. Spoofing ist naheliegend, aber da...“
Optionen

Okay alles klar. Ich kann verstehen, dass du dich nicht gerne wiederholen willst. Ich will nur das mein Vater versteht wie es warscheinlich passiert ist.

Vielen Dank für deine Mühen.

bei Antwort benachrichtigen