Ich würde auf jeden Fall beim Abuse-Team noch mal nachhaken, was genau vorgefallen ist.

Das habe ich per Mail getan und warte gespannt auf eine Antwort. Das Ergebnis werde ich hier natürlich mitteilen. (Es sei denn, ich habe einen oberpeinlichen Fehler gemacht...)

Viele Grüße
Holger

Hallo,

uns hat´s auch erwischt und mir schwillt der Kamm. Nicht nur wegen der Idioten und Verbrecher, die nix anderes zu tun haben, als uns mit sowas das Leben schwer zu machen, sondern auch weil ich mich als zahlender Kunde hier überhaupt nicht gut betreut fühle. Wir haben schon im Dezember gemeldet, das die Email-Addi meiner Frau missbraucht wird. Zurück kam nur ne Mail, sinngemäß "Rechner neu aufsetzen". Klar ... haben ja auch nix anderes zu tun. Da interessiert dann auch gar nicht, das der Rechner laut Avira (installiert), laut Bitdefender und Kaspersky (zusätzlich getestet) sauber ist und auch stets aktuell gehalten wird. Auch nicht, dass die Emails, wovon wir Rückläufer bekommen, zu Zeiten raus gegangen sein müssen, wo der Rechner nicht an war, also nachts, tags über, wo sie arbeitet oder wenn der Rechner tagelang aus war. Jetzt kann eben mit Outlook nicht gesendet werden .... bin gespannt, wann trotzdem bald die nächste Rückmail kommt ... trotz natürlich geändertem Passwort. Übrigens bei den befallenen Rechnern laut BSI https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Mailtest_21012014.html - waren wir auch nicht dabei.

Da interessiert dann auch gar nicht, das der Rechner laut Avira (installiert), laut Bitdefender und Kaspersky (zusätzlich getestet) sauber ist

Virenscanner bieten keine hundertprozentige Sicherheit.

Das (E-Mail-)Paßwort könnte allerdings auch auf anderem Weg abhandengekommen sein:
- Phishing ;
- Mitlesen einer unverschlüsselten Verbindung bzw. an einem Hotspot;
- das Paßwort wurde auf einem fremden Rechner, der mit Malware infiziert war, eingeben.

Auch nicht, dass die Emails, wovon wir Rückläufer bekommen, zu Zeiten raus gegangen sein müssen, wo der Rechner nicht an war

Der Spam wurde wahrscheinlich nicht über Euren Rechner verschickt, sondern von irgenwelchen anderen - vermutlich auch mit Malware infizierten - Rechnern irgendwo auf der Welt.

trotz natürlich geändertem Passwort.

Habt Ihr sowohl "Passwort" (fürs Web) als auch "E-Mail-Passwort" (für Outlook und co.) geändert? Falls ja, ist es schon wahrscheinlich, daß der Rechner weiterhin mit Malware infiziert ist, die Paßwörter klaut.

Übrigens bei den befallenen Rechnern laut BSI https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Mailtest_21012014.html - waren wir auch nicht dabei.

Wenn eine Mail vom BSI ausbleibt, sagt das leider gar nichts aus.

Da interessiert dann auch gar nicht, das der Rechner laut Avira (installiert), laut Bitdefender und Kaspersky (zusätzlich getestet) sauber ist und auch stets aktuell gehalten wird.

Oliver hat ja eigentlich schon das wesentlich gesagt. Perfekten Schutz kann auch eine Antivirensoftware nicht bieten. Auch wenn Avira noch so beliebt ist und immer gut abscheidet. Die meisten Fälle von Schadprogrammen mit denen ich es zu tun hatte, handelte es sich um Avira geschützte Systeme.
Wenn es erst einmal eine Schadsoftware auf den Rechner geschafft hat bringt es nur bei "dummen" Schadprogrammen etwas, Diese mit selbigen oder einen neu installierten zu beseitigen. Schadprogramme schaffen es sehr gut sich auf Systemen so zu verstecken das sie von neuen Installationen unentdeckt bleiben.
Die beste Chance so einen Schädling wieder zu entfernen ist die Suche aus Extern, ohne das System zu booten.
Im Übrigen empfiehlt auch Microsoft eine neue Installation und betrachtet das entfernen/säubern nur als einen Zwischenschritt für evtl. Datensicherung. Die Neuinstallation sollte natürlich von einen externen Medium auf eine bereinigte Festplatte erfolgen. Für solche Zwecke ist eine möglicherweise vorhanden Wiederherstellungspartition nicht geeignet.

Jetzt ist es in so einem Fall nicht einfach den Übeltäter zu finden, den neben dem simplen Schadprogramm, können Täter auch auf andere Wege an Zugangsdaten gelangen.
Nicht selten machen es die User einem sogar leicht, in dem sie die selben Passwörter und E-Mailadressen auch auf anderen Portalen verwenden. Werden diese geknackt resp von dort die Zugangsdaten abgegriffen wird man diese auch immer Testen.

Ein Indiz kann sein, wenn die Passwörter geändert wurden der Spuck aber nicht aufhört. Hier liegt dann der Verdacht auf einen infizierten Rechner besonders nahe.

Mit den passenden Zugangsdaten kann man ein Konto übernehmen. Einen direkten Zugriff auf den eigenen Rechner und dessen Mailprogramm bedarf es dafür nicht.

Eine negative BSI-Auskunft resp die Mail ist hier ohnehin ziemlich uninteressant. Zum einem weiss man ja gar nicht woher diese Daten stammen, noch kann man nicht davon ausgehen das keine weiteren Datensätze existieren.

P.S. Der Abgreifer muss auch nicht zwingend ein Schadprogramm im herkömmlichen Sinne sein.
Das kann auch eine simple APP auf einem mobilem Endgerät sein, oder auch ein vermeidlich gutes Tool auf dem heimischen Rechner.
Mir fällt da nämlich gerade ein Programm zur Passwortverwaltung ein. Das war so vor 1-2 Jahren, das funkte die gesammelten Daten auch fleißig nach Hause.

Inzwischen habe ich Antwort vom Abuse-Team. Nett geschrieben und richtig lang. Hier mal die wesentlichen Auszüge:

"So wurde die Schadsoftware entdeckt
-----------------------------------

Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein
Server, der als Falle für durch Schadsoftware befallene Rechner dient,
indem er einen Command&Control-Server eines Botnets simuliert. Ein
Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen
dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter
http://www.elektronik-kompendium.de/sites/net/1501041.htm finden Sie bei
Interesse eine gute Erklärung der Struktur eines Botnets sowie eine
schematische Darstellung.

Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um
den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports
80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der
Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese
Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern
gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An
DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam
versenden, usw.


Informationen zum detektierten Schädling
----------------------------------------

Den Beschwerden zufolge befindet sich in Ihrem LAN mindestens ein mit
der Schadsoftware "ntp-amplifier" verseuchter Rechner.

Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem
Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt,
die relevanten Zeitangaben aus den Beschwerden haben wir in die
jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:

So, 02.02.2014 19:23:56 MEZ Ermahnung"

Ist das Netzwerk per WLAN angebunden, und wer hat dazu Zugang? Es könnten nicht nur die eigenen Rechner Übeltäter sein.

Von ZeuS hatte ich bislang nur gehört dass der Trojaner Bankdaten abfängt. ntp-amplifier ist aber ein ganz anderes Ding, es dient zu DDoS-Attacken. Das Problem bei NTP-Attacken ist dass der Angegriffene kaum etwas dagegen unternehmen kann, und die Programmierer der Software gefragt sind, die sie auf eine andere Default-Einstellung setzen müssten.

http://www.heise.de/security/meldung/Kommt-Zeit-kommt-DDoS-Angriff-2087846.html

Gibt es im Netzwerk einen Server der die Zeit ausliefert? Ich würde dort zuerst mit Suchen beginnen.


Gruß, Spamfighterin

Gibt es im Netzwerk einen Server der die Zeit ausliefert?

So etwas hatte ich ursprünglich auch im Sinn, aber dann müßte Holger ja eine Weiterleitung für Port 123 im Speedport eingerichtet haben.

Klingt interessant. Ich habe einen Zeitserver im LAN. Eine Zeit lang hatte ich auch den Port 123 offen und an meinen Zeitserver weitergeleitet. Zum Zeitpunkt des bemängelten Vorgangs war dies der Fall.

Inzwischen hab ich die Portweiterleitung wieder aufgehoben. Draußen im Netz gibt es genug öffentliche Zeitserver.

Viele Grüße
Holger

Klingt interessant. Ich habe einen Zeitserver im LAN. Eine Zeit lang hatte ich auch den Port 123 offen und an meinen Zeitserver weitergeleitet. Zum Zeitpunkt des bemängelten Vorgangs war dies der Fall.

Das könnte die Sache erklären. Der Textbaustein in der Antwort-Mail - von wegen "Sinkhole kontaktiert" und so - paßt da IMHO zwar nicht so ganz, aber vielleicht hatte das Abuse-Team keinen passenderen

Ich habe auch eine solche Mail um Thema ntp-Amplifier erhalten, werde aber den Eindruck nicht los, dass die Beschwerde NICHT durch Malware ausgelöst wurde, sondern dadurch dass irgendein System - z.b. der Router - von anderen für einen Angriff missbraucht werden kann