Recommended Posts

Hallo und vielen Dank für Ihre Anfrage.

Könnten Sie bitte auch noch einen "Eigenen Scan" mit unserm Emsisoft Emergency Kit durchführen und den Scan-Bericht mit Ihrer nächsten Antwort mitsenden?

Nachdem "Eigener Scan" gewählt wurde bitte keine Optionen abändern sondern den Scan einfach mit "Weiter" starten. Wenn etwas gefunden wird bitte nicht sofort löschen sondern nur in Quarantäne stecken.

Da jedes Detail hilfreich sein kann, darf ich fragen wie Ihr Kollege darauf kommt dass eine Infektion am Rechner vorliegt?

Share this post


Link to post
Share on other sites

Auch hallo und vielen Dank für die Antwort,

anbei ein paar Logs und Screenshots. EEK hat wieder nichts gefunden.

IMG-20181129-WA0002_crb.thumb.jpg.6291163bbd567f90b630aebe8695baac.jpg
Download Image

IMG-20181129-WA0001b.thumb.jpg.790e9a9efd8f4a173a1f23212f0e6265.jpg
Download Image

IMG-20181129-WA0000.thumb.jpg.f9a09e886ce524255ad417b0a9e51b8f.jpg
Download Image

Hauptsächlich geht es wohl um die Emails vom "Telekom Sicherheitsteam" und "Ubisoft Account Support" die wohl besagen, dass was vor sich geht. Leider liegen mir die Emails mit den Links nicht vor. Vielleicht war es ja Phishing. Seine Email Adresse wird bei haveibeenpwned.com nicht bemängelt. Ich habe ihm geraten, zuerst sofort das Passwort für T-Online zu ändern, was er aber bereits getan hatte.

Aus den Logs geht ja nicht viel hervor, ne? Ich würde behaupten, das System ist sauber. Oder noch ne andere Idee?! Nochmal danke!

scan_181129-180121.txt

AdwCleaner[S00].txt

JRT.txt

G DATA Protokoll ID 4741.txt

Share this post


Link to post
Share on other sites

Hallo und vielen Dank für Ihre Rückmeldung.

Wie Sie bereits erwähnen können die Login-Daten auf verschiedenste Art und Weisen von den Angreifern in Erfahrung gebracht worden sein, nicht notwendigerweise durch Malware die am System ausgeführt worden ist.

Die Office2010.iso Datei welche Bemängelt wird deutet darauf hin dass es sich bei der Datei um keine offizielle Kopie von Microsoft handelt. Passwörter sollten natürlich sofort alle geändert werden und wahrscheinlich wird es das Problem auch wieder beheben.

Die Log-Dateien werde ich gerne noch mit meinen Kollegen diskutieren und mich dann noch einmal mit Feedback hier melden.

Für weitere Fragen stehe ich zwischenzeitlich gerne zur Verfügung.

Share this post


Link to post
Share on other sites

Hallo und vielen Dank für Ihre Geduld.

Mittlerweile konnte ich die Situation mit meinen Kollegen besprechen.

Dabei ist noch aufgefallen, dass ich nicht erwähnt habe das man die Header Informationen der E-Mails vom "Telekom Sicherheitsteam" und "Ubisoft Account Support" auf Echtheit prüfen sollte.

Keine der Log Dateien zeigen bedeutende Hinweise, die Logs sagen aber auch nichts darüber aus was JRT oder AdCleaner im Detail entfernt hat. Eventuell sollte noch erwähnt werden, dass alle Passwörter geändert werden sollten, keines der neuen Passwörter zweimal eingesetzt und das alte Passwort natürlich auch nie wiederverwendet werden sollte.

Lassen Sie uns bitte wissen, wenn noch Fragen bestehen oder wenn es noch zu Auffälligkeiten kommen sollte.

Share this post


Link to post
Share on other sites

Hallo nochmal,

vielen Dank für die Infos, die ich so weitergegeben hatte. Jetzt warten wir mal, was passiert.

Inzwischen wurde mir dieser Screenshot zugeschickt - er hat aber nur vier Mails geschrieben:
IMG-20181203-WA0001.thumb.jpg.35e35136eca068922ece2c1304bb1b59.jpg
Download Image

Ich habe mal getestet, wie einfach es ist, Spam zu verschicken: ein einziger PHP Befehl auf meinem NAS schickt scheinbar anonyme Emails mit beliebigem Absender.
Wenn natürlich seine Adresse in irgend einem Verteiler steht, werden Mails wie diese auch mit neuem Passwort niemals aufhören:

Betreff: Undelivered Mail Returned to Sender
Datum: 2018-12-03T15:10:12+0100
Von: "Mail Delivery System" <[email protected]>
An: "[..]@t-online.de" <[..]@t-online.de>

This is the mail system at host mailout11.t-online.de.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<[email protected]>: host mxs.mail.ru[94.100.180.104] said: 550 spam
    message rejected. Please visit
    http://help.mail.ru/notspam-support/id?c=GuKPy-Tr49RZMFdXY-hctY3pTqT6Gu_YMW1wmm_h5xIIAAAANSgAANsmphY~
    or  report details to [email protected] Error code:
    CB8FE21AD4E3EBE457573059B55CE863A44EE98DD8EF1AFA9A706D3112E7E16F. ID:
    000000080000283516A626DB. (in reply to end of DATA command)

<[email protected]>: host mxs.mail.ru[94.100.180.104] said: 550 spam
    message rejected. Please visit
    http://help.mail.ru/notspam-support/id?c=GuKPy-Tr49RZMFdXY-hctY3pTqT6Gu_YMW1wmm_h5xIIAAAANSgAANsmphY~
    or  report details to [email protected] Error code:
    CB8FE21AD4E3EBE457573059B55CE863A44EE98DD8EF1AFA9A706D3112E7E16F. ID:
    000000080000283516A626DB. (in reply to end of DATA command)

<[email protected]>: host mxs.mail.ru[94.100.180.104] said: 550 spam
    message rejected. Please visit
    http://help.mail.ru/notspam-support/id?c=GuKPy-Tr49RZMFdXY-hctY3pTqT6Gu_YMW1wmm_h5xIIAAAANSgAANsmphY~
    or  report details to [email protected] Error code:
    CB8FE21AD4E3EBE457573059B55CE863A44EE98DD8EF1AFA9A706D3112E7E16F. ID:
    000000080000283516A626DB. (in reply to end of DATA command)

<goloveshkina[email protected]>: host mxs.mail.ru[94.100.180.104] said: 550
    spam message rejected. Please visit
    http://help.mail.ru/notspam-support/id?c=GuKPy-Tr49RZMFdXY-hctY3pTqT6Gu_YMW1wmm_h5xIIAAAANSgAANsmphY~
    or  report details to [email protected] Error code:
    CB8FE21AD4E3EBE457573059B55CE863A44EE98DD8EF1AFA9A706D3112E7E16F. ID:
    000000080000283516A626DB. (in reply to end of DATA command)

<[email protected]>: host mxs.mail.ru[94.100.180.104] said: 550 spam message
    rejected. Please visit
    http://help.mail.ru/notspam-support/id?c=GuKPy-Tr49RZMFdXY-hctY3pTqT6Gu_YMW1wmm_h5xIIAAAANSgAANsmphY~
    or  report details to [email protected] Error code:
    CB8FE21AD4E3EBE457573059B55CE863A44EE98DD8EF1AFA9A706D3112E7E16F. ID:
    000000080000283516A626DB. (in reply to end of DATA command)
[..]

Kann man denn aus dem Hostnamen "mailout11.t-online.de" schließen, dass doch aus seinem Heimnetz Spam verschickt wird? Vielleicht sollten außer dem PC noch sämtliche Handys und Spielekonsolen überprüft werden.  😱

Share this post


Link to post
Share on other sites

Hallo eric cartman,

vielen Dank für das Update.

Wurden die Passwörter im Kundencenter der Telekom geändert?

Das sollte laut einer Recherche im Internet über "Meine Daten / Passwörter und PINs" auf der Webseite (kundencenter.telekom.de) möglich sein. Es gibt scheinbar auch noch ein separates "E-Mail Center" von der Telekom unter "email.t-online.de".

Ein weiterer Vorschlag wäre dort auch nach einer sicheren Zwei-Faktor Authentifizierung zu suchen und diese zu aktivieren. Ich weiß nicht mit wie großer Verzögerung diese Nachricht von der die weitergeleiteten Infos stammen angekommen ist, aber grundsätzlich bedeutet es dass Nachrichten weil als Spam klassifiziert von dem Account der bei der Telekom besteht nicht versendet werden konnten. Es könnte sich allerdings um Nachläufer handeln und es sollte sich in ein paar Tagen zeigen ob der Account immer noch Spam Mails versendet.

Es gibt scheinbar jede Menge Passwörter bei der Telekom von denen wohl drei Passworter auf verschiedene Arten Zugriff auf den Mail-Account geben können, hier ein Zitat von Jemandem vom Telekom-Team:

Quote

 

Sowohl „Passwort“ und „E-Mail-Passwort“, als auch das „Persönliche Kennwort“ bieten auf unterschiedlichen Wegen einen Zugriff auf das E-Mail-Postfach.

Hier noch einmal eine Übersicht mit der Bedeutung:

https://www.telekom.de/hilfe/vertrag-meine-daten/login-daten-passwoerter/welche-passwoerter-fuer-welchen-zweck

Die Änderungsseite aller Passwortarten kann über den folgenden Link anfgerufen werden:

https://kundencenter.telekom.de/kundencenter/kundendaten/passwoerter/index.html

 

Der Beitrag wurde allerdings schon vor einiger Zeit verfasst und mir ist die aktuelle Situation nicht bekannt. Es wäre zu empfehlen noch einmal zu prüfen ob die Passwörter von allen Zugangspunkten auf ein sicheres neues Passwort geändert wurden.

Wenn das bereits der Fall ist und es weiterhin Verdacht gibt dass die Spam-Nachrichten noch versendet werden geben Sie uns bitte Bescheid.

Für weitere Fragen stehe ich gerne zur Verfügung.

Share this post


Link to post
Share on other sites

Wenn die Kundennummer und der genannte Anschlussinhaber in der Telekom Mail stimmt, dann ist die E-Mail echt! Möglicherweise wird der Schädling noch nicht von den AV-Programmen erkannt. Aus Sicherheitsgründen würde ich den betreffenden Rechner neu aufsetzen.

Wie von Thomas schon erwähnt, sollten von einem sauberen System aus umgehend alle Passwörter erneuert werden und wo möglich die 2 Stufen Authentifizierung oder Login aktiviert werden.

Share this post


Link to post
Share on other sites

Hallo und vielen Dank für den Beitrag @Icewolf.

@eric cartman Wenn es aus Ihrer Sicht möglich wäre das System neu aufzusetzen kann ich Icewolf nur recht geben und es wäre sicher die einfachste und sicherste Möglichkeit.

Ist ein System bereits infiziert und sind Spuren der Malware beseitigt worden kann es durchaus sein (abhängig von der Art der Infektion), dass sich Malware am System befindet, aber mit Malware-Scans nicht mehr aufgespürt werden kann.

Ich denke auch dass die Nachricht von der Telekom legitim ist/war. Wenn weitere davon kommen und obwohl alle Passwörter geändert wurden muss man auch leider davon ausgehen dass noch eine Infektion vorliegt.

Es wäre nett wenn Sie uns über weitere Erfahrungen auf dem Laufenden halten könnten. Ich wünsche ein angenehmes Wochende!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.