Spam von meinem T-Online Account

Hafsat

Cadet 2nd Year
Dabei seit
Feb. 2008
Beiträge
26
Hallo!

Ich hoffe hier kann mir evtl. jemand weiterhelfen.

Ich habe heute eine Mail vom T-Online Abuse Team bekommen, ich würde über meine Account Spam verschicken. Da ich mir keiner Schuld bewußt bin und auch nicht weiß um was für Spam es sich handelt, habe ich der Telekom entsprechend geantwortet.

Nun zu meiner Frage:
Kann es sein das ich mir eine Virus oder ähnliches eingefangen habe, des dies tut?

Hab bisher noch keine komischen Mails bekommen das etwas nicht gesendet werden konnte, wie es hier oft im Forum schon beschrieben worden ist. Lediglich die Aufforderung von der Telekom das Verschicken dieser Spammails zu unterlassen hat mich darauf aufmerksam gemacht.

Ich habe meinen Desktop-PC nun vom Internet getrennt (bin zur Zeit nur mit dem Laptop online) und lasse gerade einen Virenscann laufen.
Mein Antivirenprogramm ist Avira AntiVir Personal mit dem neusten Update und meine Firewall ist die von Windwos XP (auch XP hat das neuste SP).

Ich hoffe jemand kann mir sagen, was ich nun machen sollte/kann/muss.

Vielen Dank.
 

China

Fleet Admiral
Dabei seit
Dez. 2004
Beiträge
12.919
Nun erst ein mal müssen sie es Dir nachweisen.
Dafür sollte man eigentlich die Beweise (Trafficmitschnitte etc.) anfordern.

Des Weiteren das Kennwort des Accounts ändern und auf mal drauf achten, was da steht wann zu letzt eingeloggt wurde.

Abwarten... :D
 

Hafsat

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Feb. 2008
Beiträge
26
Danke schön für eure schnellen Antworten.

Das Passwort werde ich gleich mal ändern, da hätte ich auch drauf kommen können.^^

Wann sich zuletzt eingeloggt wurde muss ich ehrlich sagen, seh ich nicht wirklich. Ich nutze keine der T-Online Software, sonder gehe mit Firefox ins Internet und rufe über Thunderbird meine Mails ab.
Mein Router ist 24/7 online, außer zum 24 Std. Disco. Ebenso geht es meinem Rechner, der ist irgendwie auch immer an und per WLAN im Internet. Mein WLAN sollte soweit Sicher sein, SSID ist unsichtbar etc. (mein Freund hat es eingerichtet, hab das gefühl er weiß was er macht^^)
 

moquai

Banned
Dabei seit
Apr. 2004
Beiträge
16.762
Hallo,

die Frage ist, WAS T-Online mit "über Deinen Account" meint.

Wörtlich: "Account", jemand hat Deine Daten.
Oder meinen die, dass jemand Mails versendet, die angeblich von Dir stammen.
Das wäre nämlich auch möglich, indem man den Absender, bzw. den Header manipuliert.

Ach ja: "SSID ist unsichtbar." Das bringt absolut nichts.
 

Hafsat

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Feb. 2008
Beiträge
26
In der Hinsicht dürcken die sich etwas schwammig aus. Sie sagen entweder jemand hat meine Daten oder jemand verschickt Mails die angeblich von mir stammen.

Wortwörtlich:

Leider haben wir jedoch die Informationen erhalten, dass über Ihren Telekom Zugang unverlangte eMail-Werbung (sogenannter Spam) versendet wurde.
Der Hinweisgeber sendete uns typischerweise einen eMail-Header (Kopfzeile) der eMail mit. In jenem Header ist eine IP-Adresse mit Datum und Uhrzeit inklusive Zeitzone enthalten. Diese Daten haben wir ausgewertet und auf dieser Basis Ihren Account gemeldet.

...

Für die Versendung von Spam gibt es zwei mögliche Ursachen:

- Die eMails wurden ohne Ihr Wissen von Dritten über Ihren Telekom Zugang gesendet
- Sie haben diese eMails selbst über Ihren Telekom Zugang gesendet.

...

Dann noch ein paar Abrisse, ob mein PC auch geschützt wäre und eine Bedinungsanleitung zum Einstellen von Proxyserven.
 

moquai

Banned
Dabei seit
Apr. 2004
Beiträge
16.762
Hallo,

leider fehlt die dritte Möglichkeit:
"Jemand versendet Mails in Ihrem Namen, indem er den Absender/Header manipuliert hat."

Noch etwas, hake da mal nach:
In jenem Header ist eine IP-Adresse mit Datum und Uhrzeit.
Wenn T-Online die meint, die Dir zu dem Zeitpunkt zugewiesen war, dann kannst Du vielleicht "filtern", ob jemand an Deinem PC gewesen sein könnte. Ansonsten spreche T-Online auf die Logfiles an.

Du könntest auch noch Software (PC Agent, Spector, Orvell Monitoring) installieren die alles mitschneidet, was am PC passiert. Dann würde wenigstens der Punkt ausscheiden, das jemand von Deinem PC aus Mails versendet.
Natürlich nur, wenn sich die Sache wiederholt.
 
Zuletzt bearbeitet: (Ergänzungen hinzugefügt.)

China

Fleet Admiral
Dabei seit
Dez. 2004
Beiträge
12.919
Naja... Telekom denkt nicht sooo weit^^

Die Sache mit dem Header ist allerdings noch eine gute Idee!
 

Hafsat

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Feb. 2008
Beiträge
26
Ich hab eben Spybo durchlaufen lassen, das einzige was er gefunden hat waren Cookies. Dann hab ich noch mal Trend Micro™ RUBotted (Beta) laufen lassen, der hat gar nichts gefunden und Avira hatte zwar etwas, das waren aber noch Zip-Datein die ich daraufhin gelöscht hab. Hab Avira noch mal laufen lassen und dann war alles sauber.

Hab auch noch mal alles Prozesse angeschaut, die so laufen alle die mir nichts sagten hab ich mal "gegooglet", war aber keiner bei der verdächtig ist oder ähnliches.

Hm, dann scheint doch mit dem Rechner soweit alles okay oder seh ich das falsch?

Sollte einer diesen Header manipuliert haben, kann ich was machen?
Einfach die T-Online bitte mir die Logfiles zu meinem T-Online Zugang zukommen zulassen?


Hab auf dem Gebiet wirklich nicht viel Ahnung, an dieser Stelle schon mal tausend Dank für eure Hilfe!!!
 
Zuletzt bearbeitet:

moquai

Banned
Dabei seit
Apr. 2004
Beiträge
16.762
Hallo,

eigentlich habe ich gemeint, ob ein Individuum (Bruder, Schwester, Hund, Katze, Maus) an Deinen PC kann.
Logfiles wird Dir T-Online wohl nicht zusenden, aber die "Experten" könnten durch die Auswertung einige Dinge ausschließen. Machen kannst Du da nicht viel.
 

Hafsat

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Feb. 2008
Beiträge
26
An meinen Rechner kommen nur zwei Leute, eine davon bin ich und die andere Person verschickt auch kein Spam. :)
 
M

Mr. Snoot

Gast
leider fehlt die dritte Möglichkeit:
"Jemand versendet Mails in Ihrem Namen, indem er den Absender/Header manipuliert hat."
Wird die E-Mail denn auch über T-Online zugestellt, wenn jemand den Absender fälscht und xyz@t-online.de draus macht?


Genau da sollte doch der Ansatz liegen, dass man solche Mails blocken kann: nämlich dann, wenn der Provider in der Adresse nicht mit dem Host übereinstimmt, wo die Mail herkommt.


Demzufolge würde die Benachrichtigung von T-Online automatisch bedeuten, dass ein gefälschter Absender nicht in Frage kommt, weshalb es dort auch nicht zur Auswahl steht.
 

moquai

Banned
Dabei seit
Apr. 2004
Beiträge
16.762
Hallo,

Fakt ist folgendes:

1.) Du scheidest aus.

2.) Eine zweite Person hat zwar Zugang, versendet aber angeblich kein Spam.

Um dies 100%ig zu klären, kannst Du ein von mir genanntes (oder anderes) Programm installieren. Der Datenschutz wird durch diese Software nicht verletzt, da Du sie nur auf dem PC installierst, der sich in Deinem Eigentum befindet. Das ist erlaubt. Anders wäre es, wenn Du auf einem fremden PC so eine Software installieren würdest.
Dann ist die Rechtslage ein wenig anders.

3.) Wie schon erwähnt, jemand könnte den Header gefälscht haben.

Derjenige, der diese Mail erhält, braucht nur die Mail mit Header an abuse@t-online.de senden und sich beschweren. Es kann gut sein, dass Du dann einfach angeschrieben wirst, ohne das T-Online dies richtig nachgeprüft hat, sondern nach "Schema F" handelt.

"Schema F" bedeutet: Das steht sein Absender drin, dann war er es auch.

T-Online könnte nach dem Ausscheidungsverfahren handeln, wenn die Logfiles ausgewertet würden.
Das ist aber ein ziemlich großer Aufwand.

Mehr dazu sagen kann ich leider nicht. Denn es wurden ja schon alle Möglichkeiten erläutert.

@Mr. Snoot;

Deiner Frage stimme ich zu, denn genau dies zeigen die Logfiles.
Wenn aber über ein "Open Relay" versendet wird, dann findet man das auch ohne Logfiles heraus.
 
Zuletzt bearbeitet: (Ergänzungen hinzugefügt.)

Hafsat

Cadet 2nd Year
Ersteller dieses Themas
Dabei seit
Feb. 2008
Beiträge
26
Hallo noch einmal,

heute morgen habe ich dann die zweite Mail bekommen.
Dies soll wohl der Mail Header sein:

|Received: from p548D57F5.dip.t-dialin.net (HELO npxr.t-dialin.net) (84.141.87.245)
| by trap01.abusix.org (qpsmtpd/0.32) with SMTP; Sat, 30 May 2009 05:43:39 +0000
|Message-ID: <1243662207_broadener@as3.nl>
|Date: Sat, 30 May 2009 05:43:40 +0000
|To: xxx@xxx
|Content-Type: multipart/mixed;
| boundary="---0a8Mp9lubm0kh7tIbMpE4"
|MIME-Version: 1.0
|X-Mailer: PHP v4.4.3
|Subject: Canadian zoo invvestigates puzzling stingray deaths
|From: Underkoffler <grabbled@as3.nl>
|-----0a8Mp9lubm0kh7tIbMpE4
|Content-Type: image/png;
| name="literate.png"
|Content-Transfer-Encoding: base64


Laut T-Online könnte man wohl an der Message-ID den Rechnernamen erkennen. Fakt ist, dass die dort angeführt Message-ID nicht mein Rechnername ist.
Auch sonst les ich da nicht mal T-Online oder meine eMail Addresse.

Außer dem Schreibt T-Online:

Wir haben den Laufweg der E-Mail anhand der Headerdaten ausgewertet und
über die IP-Adresse Ihren Internetzugang als Einlieferer ermittelt. Die
E-Mail wurde *nicht mit Ihrer t-online.de Adresse* und über unsere
Mailserver gesendet, sondern per Direkteinlieferung Ihres Rechners an
die Empfänger.

Deren Empfehlung ist das Neuaufsetzen des Rechner, da es sich angeblich um einen Rootkit handeln würde, den man werder finden noch löschen könnte. Ist das so?

Habe gestern abend noch einmal mit HijackThis meine Prozesse überprüft, auch hier konnte nicht ungewöhnliches gefunden werden.

Neuaufsetzen oder lassen?
 

el.com

Lieutenant
Dabei seit
Okt. 2008
Beiträge
583
Ob es wirklich ein Rootkit ist, können die dir mit Sicherheit nicht eindeutig sagen. Die können es höchstens vermuten.

Wie du siehst (und wie die Telekom auch geschrieben hat), kam die Mail nicht über deinen T-Online Account. Es ist jedoch möglich, dass du einen Spambot auf dem Rechner hast, der da was verschickt. Wenn die im Header angegebene Kennung tatsächlich deine ist, würde ich den Rechner neu aufsetzen. Und wenn die Telekom sagt, dass die Kennung eindeutig deinem Rechner zuzuordnen ist, würde ich es vielleicht sicherheitshalber mal machen.

Vorher aber mal Wireshark mitlaufen lassen und schauen, ob das wirklich was von deinem Rechner rausgeht. Kann ja auch sein, dass die DTAG das mal wieder nur aus Faulheit behauptet, damit sie die Logfiles nicht ausführlich prüfen müssen.
 
Zuletzt bearbeitet: (vertippt)

moquai

Banned
Dabei seit
Apr. 2004
Beiträge
16.762
Hallo,

da kommen wir nicht weiter.

- Die Message-ID kann man fälschen.
- From und Return-Path kann man ignorieren, diese Angaben sind immer falsch.
- X-Mailer kann man ändern.

Received zeigt nur, mit welchem Provider die Mail empfangen wurde. Eben ein Server von T-Online.
Ist das eigentlich der ganze Header? Im Header ist ja der letzte Received-Eintrag die Adresse vom Mailprovider. Diesen Eintrag kann man nicht fälschen, weil er vom Mailserver selbst in den Header eingetragen wird.
Die anderen Received-Einträge kann man aber wieder fälschen. Gab es noch mehr Received-Einträge?

Man kann Spam auch über ein Zombie-Relay (verseuchter PC) versenden. Dann ist natürlich im Header die IP-Adresse vom verseuchten PC auch ersichtlich.

Ich stimme el.com aber beinahe zu, es könnte ein Trojaner sein.
 
Zuletzt bearbeitet:

Boogeyman

Vice Admiral
Dabei seit
März 2005
Beiträge
6.783
@Hafsat

Du bist wahrscheinlich Mitglied eines Botnet, hier müssen die Spam Mails weder über deinen Mail Account laufen, noch muss ein Email Programm installiert sein.

Zu empfehlen ist hier, mit einem Live Virenscanner das System zu testen:
Kaspersky RescueDisk
Avira AntiVir Rescue System
Im Brennprogramm als Image brennen, dann von dieser CD booten.

Wie wird man ein Botnet?

  • Es werden nicht alle Sicherheitsupdates von Microsoft installiert (siehe z.B. Conficker)
  • Du verwendest Cracks, Keygeneratoren, bzw. beziehst Dateien aus Filesharing, oder öffnest Email Anhänge unbekannter Herkunft. (Mahnung über 1000€, weitere Infos im Anhang usw.) Hier verlässt du dich nur auf deinen installieren Antivvirenscanner.
  • Deine Programme, die mit dem Internet Kontakt haben sind veraltet (Flash, Adobe Reader, Quick Time Player, Java, Winamp, Mailprogramm)
  • Du surfst und arbeitest mit Admin Rechten
 
Dabei seit
März 2008
Beiträge
2.897
Ergänzend dazu: Wer mit WLAN surft ist auch mit WPA2 nicht mehr sicher, unsere sibirischen "Freunde" haben ein Verfahren entwickelt das zu knacken. Und wie sicher sind Bluetoot-Geräte und schnurlose Telefone am Festnetz noch?
 

U-L-T-R-A

Commodore
Dabei seit
Dez. 2008
Beiträge
4.370
Also ganz ehrlich, ich glaub nicht das der PC verseucht ist.
Jede wette,die haben das bei T-Online nicht richtig überprüft.

Aber würd mich echt interessieren. Folg doch mal bitte dem Rat von Boogeyman mit der BootCD.

War der PC zum dem Zeitpunkt überhaupt an? :D

@Fauler Willi
Hast Du zufällig n link mit mehr Infos dazu, daß das WPA2 geknackt wurde? Würd mich mal interessieren.
 
Top