Über meine IP Adresse wird Spam verschickt

[shmerlin]

Hi,
die Frage die sich mir bei der Sache grad stellt, was ist mit "T-Online Account - Kundenkonto" gemeint? Dein Mail-Account oder dein Internet-Login-Daten?

Ändere auf jeden Fall mal dein eMail-Account Passwort und hinterleg es auf keinen Fall irgendwo auf dem Rechner (Passwort Datenbank im Browser).

Mfg shmerlin

 

[Oli_P]

Er sagte doch, daß die Spammerei von seiner IP ausgehen soll.

 

[Gizmo0815]

....Vor einigen Tagen haben wir Sie, per E-Mail, bereits darüber informiert, dass uns Hinweise vorliegen, denen nach immer noch über eine auf Ihren Computer genutzte Kennung (T-Online Account - Kundenkonto) Email - Werbung (Spam) versendet wurde, worauf wir nun mit einer Beschränkung der Mail - Versandsperre reagieren musste

Bei diesem Text wäre ich mir nicht ganz sicher ob die vom Emailkonto oder vom Internetzugang (IP) sprechen.

Irgendwie könnte man auch denken, die reden nur vom Emailkonto und nicht vom Netzzugang.

Steht in den Emails von denen ein anderer Text?

Gruß Gizmo0815

 

[shmerlin]

Ich denke, wenn T-online den eMail-Versand sperrt, gilt das für den T-online Mailaccount, weniger für die IP. Ansonsten hätten sie eher den kompletten Internetzugang gesperrt.

 

[gaahl]

Seid ihr also der Meinung, es wäre sinnvoll das Kennwort von meiner Tonline Email Adresse zu ändern? Soll ich auch die Passwörter von anderen Email Adressen welche ich in Outlook/Thunderbird nutze ändern?

 

[eigs]

Vielleicht ist es ein direktes senden, dass der Schädling seien eigenen Mailserver mitbringt.
Und direktes senden oder SMTP kann der Provider schon blockieren.

Du hast zwar ein haufen Scanner verwendet aber noch immer nicht den Traffic mit gesnifft so wie ich dir empfohlen habe.
Wenn dir also an deinen Problem etwas liegt, dann solltest du schon unternehmen was dir empfohlen wird.

 

[Gizmo0815]

Das Ändern sämtlicher Passwörter ist auf jeden Fall sinnvoll!

Wenn es sich heruassstellen sollte, dass ich doch ein Schadprogramm auf dem Rechner befindet, würde ich die Passwörter nach dem entfernen des Programms erneut ändern.

Gruß Gizmo0815

 

[gaahl]

Kannst du mir denn eine Software für das Sniffen des Traffics empfehlen?

 

[Oli_P]

Wurd doch schon mehrmals gesagt. Nimm einfach Wireshark.

 

[gaahl]

Diese Wireshark mag wohl die Wlan Verbindungen nicht.

"The capture session could not be initiated (failed to set hardware filter to promiscuous mode). Please check that "\Device\NPF_{4D68A629-3D36-44C1-9E9A-FC693640CC49}" is the proper interface."

In der Hilfe steht:

"Unfortunately, changing the 802.11 capture modes is very platform/network adapter/driver/libpcap dependent and might not be possible at all (Windows is very limited here)."

ich schaff es leider nicht diese Software zum laufen zu bekommen.

 

[Oli_P]

Die Fehlermeldung sagt eigentlich schon alles... Geh in "Capture", dann "Options" und deaktiviere "Capture packets in promiscuous mode".

 

[gaahl]

Danke :-)

Ich werde mal sehen ob ich etwas verdächtiges aufspüren kann.

Hat jemand einen Tipp für mich, wie ich in diesem Wireshark Protokoll Email Pakete erkennen kann? Köpft mich jetzt bitte nicht, falls diese Frage dumm sein sollte. Muss ich lediglich darauf achten, ob als Protocol SMTP oder POP3 gelistet wird?

Ich hab nun mal das Szenario nachgebildet, indem ich versucht habe per Thunderbird eine Email zu versenden.

Wireshark sagt: TCP funkproxy > smtp [SYN] Seq=0 Win=16384 Len=0 MSS=1460

Auf genau solche Dinge muss ich acht geben, oder?

Kann mir jemand einen Hinweis geben, wie ich die Datenpakete am besten filtern kann sodass man nicht sofort den Überblick verliert?

Ich habe nun als Filter folgende Regel: tcp port 25 or tcp port 110 or tcp port 143

Decke ich damit alles ab?

 

[netzwerker]

Es reicht ein Filter auf "smtp".

Mirko

 

[gaahl]

That string looks like a valid display filter; however, it isn't a valid
capture filter (syntax error).

das passiert wenn ich "smtp" angebe

 

[netzwerker]

Ja, es ist ein Display Filter.

 

[Oli_P]

Du mußt "SMTP" oben links im Feld "Filter" eingeben und dann auf "Apply" klicken.

 

[gaahl]

Wenn ich den Filter "smtp" definiere und versuche eine Email zu versenden, taucht dies nicht in meinem Wireshark log auf. Solle es aber, oder?

Ich hab zu dem ganzen Schauspiel hier nochmal eine Frage. Muss der Bösewicht die Spammails zwingend über Port 25 versenden? Wireshark liefert mir auf keinem Pc ein Ergebnis für den Port 25.

 

[Oli_P]

Was du auch mal machen könntest: Mach mal ein Log mit HijackThis und poste es hier.

 

[Restecp]

und? was sagt t-online jetzt zu dem thema? oder den übeltäter schon entdeckt?

 

[BasCom]

also, ich hatte das ja auch mal. ich greife aber von 2 rechnern auf mein postfach zu. liegt im netzwerk bereit. da kam auch mal ne mail von t-online wegen spam. bis ich gerafft hatte, dass das vom laptop auch kam..hatte das zunächst fuern fake gehalten. der laptop war so tief infiziert..da half nur format. alle windows exen betroffen. ein netstat zeigte dann reichlich verbindungen zu diversen ip-adresse auf smtp port an.