Vielleicht kann man 1&1 fragen, ob deren smtp-Server da was hilfreiches mitbekommen und eventuell auch geloggt hat.
Warst du in letzter Zeit fremden WLANs unterwegs und hast du schon so gut es geht überprüft, ob die von dir genutzten Rechner/Tablets/Smartphones alle sauber sind?
Angeblich tonnenweise unzustellbare Mails! Wo steckt der Bot?
-
-
Hi,
hab harr genau das gleiche Problem.100% Identisch seit gestern 18.19Uhr ca. 400 Mail von meinen Adressen (Firma und Privat 2 verschiedenen Accounts beide 1und1 und 1 web.de account)aus Versand worden.
2 mal bei 1und1 angerufen haben keine Logs oder ähnliches. Da defi mein Comp aus war zu der Zeit ging es net von meinen Rechner aus. Hab Firewall durch Fritz box und commodo Firewall auf dem Rechner incl Antivir.
Mailwarebits rootkitfinder,superantispy ,hijackthis komplett durchlaufen lassen nix gefunden.
Momentan sniff ich meinen Datenverkehr mit Wireshark und auch keine Auffälligkeiten(bin jz aber auch net sooo der Pro darin).
Meine frage ist wo ist das Loch auf meinen Rechner(Outlook?) oder wurde per bruteforce die Accounts online geknackt?
Nach Password Umstellung keine Mail delivery mehr. Also defi die Passwörter geknackt und nicht einfach nur nen Illegalen Mailserver aufgesetzt mit iwelchen Mail Adressen.
Bin dan jz auf der suche nach Lösung bei euch gelandet
gruß
-
Was ist das für ein Hosting-Paket? Reine Webseite, virtueller Server oder echter Server?
Womit wird die Domain verwaltet? ...
Das war einfach bei meinem 1&1-Paket dabei. Eine frei wählbare Domain, 10GB Mailspeicher bei beliebig vielen Adressen...Ich verwalte da gar nix. Ging alles über die 1&1-Seiten einzurichten. Webspace etc. nutze ich gar nicht. Nur den Mailserver. -
Vielleicht kann man 1&1 fragen, ob deren smtp-Server da was hilfreiches mitbekommen und eventuell auch geloggt hat.
Warst du in letzter Zeit fremden WLANs unterwegs und hast du schon so gut es geht überprüft, ob die von dir genutzten Rechner/Tablets/Smartphones alle sauber sind?
1&1 kannst du supportmässig vergessen. Tel. ging da heute wie üblich gar nichts. Per Mail, mal sehen. Rechnerprüfen fang ich grade erst an... -
Nach Password Umstellung keine Mail delivery mehr. Also defi die Passwörter geknackt und nicht einfach nur nen Illegalen Mailserver aufgesetzt mit iwelchen Mail Adressen.
Bei mir hat 1&1 etwa zur gleichen Zeit den Mailversand blockiert. Daher weiss ich nicht, was das nun tatsächlich beendet hat. Entsperrt ist noch nix (trotz Mail an 1&1; tel. war nicht durchzukommen).
Meine Passworte können die m.E. nicht geknackt haben (für zwei accounts mit je 20ig crytischen Stellen?). Entweder stammen die aus der Vista-Registry (Kennwort speichern), oder wurden bei Anmelden gefischt. Habe grade mal geschaut: 'Mit Klartextauthentifizierung anmelden' ist bei mir eingestellt. 'Anmeldung durch gesicherte Klartextauthentifizierung (SPA)' funzt bei mir nicht, das weist 1&1 zurück (Windows Live Mail 2011)... -
hi,
die passwörter lassen sich im klartext sniffen test mal wireshark egal wie cryptisch.
da du auch ein email client benutz (ex outloock express) werden die kontodaten und passwörter in der .pst datei gespeichert.
fals trojaner an board sind o.ä die darauf spezi sind brauchen sie nur die datei.(geht aber auch noch einfacher)
hab gerad noch einige cleaner,scanner,rescue cd´s mit linux meine platte gescannt kann aber aber
auch rein gar nix finden.
ich könnt damit leben das irgendein illegaler mailserver meine adresse kurtze zeit als spammer benutz(kann man sich eh nicht gegen schützen)
aber pass verlust ist indiskutabel.
und da geh ich bei mir von aus, den seit pass wechsel keine mail delivery.
werd mich bei weiteren infos meldenviel glück mit deinen prob hoffe wir könn uns helfen
gruß
-
hi,
also "tonneweisse" unzustellbare mails sieht anders aus
vor ca. 3 jahren hatten wir in der firma einen fall das die adresse eines anwenders als absenderadresse für spam benutzt wurde. da kamen über das wochenende so 200.000-300.000 mails auf uns zu - DAS ist tonneweise (und geht noch schlimmer), nach dem wochenende wurde die adresse rausgenommen bzw. alles an die adresse nach /dev/null verfrachtet aber da kam die folgenden tage sicher noch mehr
vermutlich wird das heute auf deutlich mehr absender verteilt so das dann am ende nur ein paar hundert je absender überig bleiben
lustig wird es dann wenn der diestleister anfängt dafür rechnungen zu stellen (datenvolumen, sondermaßnahmen), anzeige gegen unbekannt bringt da nicht viel -
hi,
die passwörter lassen sich im klartext sniffen test mal wireshark egal wie cryptisch...
Falls diese Mails tatsächlich über meine beiden Zugänge versand wurden (Reaktion von 1&1 steht noch aus), dann kommt als Quelle für die Passwörter nur ein Rechner in Frage, mit Windows Vista und Windows Live Mail 2011. Als Scanner habe ich nur noch die Security Essentials drauf (vorher TrendMicro OfficeScan), vielleicht ein Fehler:Code
Alles anzeigenEU-Cleaner ************************************************** Zusammenfassung des Suchlaufs: ************************************************** Zeitstempel des letzten Updates: 25.09.2013 20:05:40 Konfigurationsprofil: sysscan.avp Plattform : Windows Vista (TM) Home Premium Windowsversion : (Service Pack 2) [6.0.6002] build.dat : 10.0.0.64 13423 Bytes 12.09.2013 08:06:00 Beginn des Suchlaufs: Mittwoch, 25. September 2013 22:06 a56a85ebff84d04da2e2f21be6d6155f5225f94aa979b8df9ad46471ae6dcfa3 [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Mabowl.Gen 2dfaf32940ffb71c0428387affe20c45f100ef96de6dd7721e8b01d7e8dbe1b7 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Rilly.CH.1 2940b3d2761d3f2f8280d7e143814d03aac5ee82eb9ec0acbf2d2a3df4d5c89c [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.skw.63 57d271ff2bb7ff1a00ea6296f50a7eec7acd2f87516cdb760b22dcef9bfdb8de [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.HG 0104395ba57f3db7f32c45fb34b247777ca06d3f04345135cc82a1fee3a58216 [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.JJ ed4ae5c7310f54961eb93b22b9d1e8a9fa0c7f11bd1e5e2a51005b208ec3f545 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Karamel.AT.3 db1a84084c6f7b59d0220bc91a56a86072b498b854c9d20866058a230bd88b0d [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Jogek.TJ dce65caafa4f020f6608e254a28ef57f37f9df4d71b024cb751ea83427603cbf [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.SX 91a5bcc22ffa8970f3fc30bb182d608c5d1e038c73200a9b87ff7cc3b709c331 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Karamel.BW 697d214dddfc479507459889ec63ef9cf164c378cb75bb91a212a5dc3ecc4bc2 [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Mabowl.Gen e51ddd4d5e3e318b46da4ef11990669424cf20cbc7a7fc719cb0cd6e9cc1b54b [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Treams.JS db3544b5b886174f4f10124231a00e3965c120204b06a2da9016d6a2f5e063cd [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544.CF f01cc6d2220e4cf449f2da1781020a0af75cde7ba51ddf0758a2c62687b45129 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Karamel.AS.3 5f1f2722aa2856ab07c5e20d980ebaa24cca78d1f47effecb755cc7149158606 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Karamel.AG.2 e31962168f075c9ac797e362b1b30119b6feabab14ea2108465bc6de4721e0e4 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.B.Gen 97e6a700b7dc6a1eb7ee8ba9be1ef77c1ca6b8ae6d9ad5e81c4e7ac0ba35031a [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.JJ 5daef8b8107d2d06b5a20e8c82433f09c2833aace310b6d1f3e8c389ac359a58 [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.A.1324 d15a38a7e10acd5e7d0674b6e15e38c376d8124503f822f466d471a7b4dd919e [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen 49c5469e1476f8e8e96950d1def3e07da7557e1674c6bccad337dfadeb26bd39 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Treams.JA 6dbe895ca6daa774ace00b10ab583dbd4f2b450fe0d13bdc345c02e1357619d1 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.YJ 7de176eb7f2874e2f1f5ccf91aed0b3415e1aef527e4199f0f9358d5b2cf3509 [FUND] Enthält Erkennungsmuster des Exploits EXP/2012-1723.GB 4e554848056098876d3e8049f91befe6b33bc5099b6c9d00f927f4e0f53454fd [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.PR c73a7b1451886235d073fb5ea4f9f95cd67e5c9b333628d8f1d05558cf4a775c [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.PI 5929a105e06c85a40d705711a242ddeea9d345238bc42e44b6ab3f55e02e51fe [FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.A 8402574c489d683ae17a0212509ef31860db402e2e9d8f6121d79c4146c2477d [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Treams.JS f35e3b8d47f98fb7c44d5decded3662bd7b4a52b5c4aecb194dc0fc04b7b90fe [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.B.Gen b41e71258e82a746602a5200013ef509cde6433787ecbbc1186b7f3f205f6471 [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Expkit.J 33c205b0ea30be718f769ae38dae2ad9be08d71ee2485b6565546321bebc1f42 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.GX 0ab852fa5091d008924f1cf70e0c09061dac797f8c26aa9c681c03e8bd413d26 [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.O 0ab852fa5091d008924f1cf70e0c09061dac797f8c26aa9c681c03e8bd413d26 [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.O bc8046c84134d5e6a6d3a4fc28cf14fcdcd97557b68e70d8f74dcbabd318c694 [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2012-1723.YI 4e56e880d81df1e9c28ef240019d58a2b365482d4ca151e0b7b17bd39619d8e6 [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Pycle.Gen 7c77edba7ae492f77e05777124a84465908945dba7c581cb2ef124c035490507 [FUND] Enthält Erkennungsmuster des Exploits EXP/12-0507.CE.1 2b34fa2c3f5942d16b02a56774cb47cfabb465a702096ca33e37f568e10133e6 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Obfshlp.M 7a75d4aab19570840c65563e80ff3f0f4ab341959e6e9c69923e8b3ab155c150 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.ttu.4 d71662f7b730c8e0fb096e607ad57bdfad972fc92b9e75f801b0229b36817d21 [FUND] Ist das Trojanische Pferd TR/Agent.1445.1 2e9475c53d677c7168299d7c30f89a68419623673ef7b6ad3d1bba2a39114d75 [FUND] Ist das Trojanische Pferd TR/Agent.778.2 11f8e538fc309279f310511ad1a1069eac3e9f22c3959913d1c95f2b4efdbe55 [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lama.HR.2 c483bb521336a49aae571a2c93d5a3293bb6e760d40f23a4e45db1df370ecf0d [FUND] Enthält Erkennungsmuster des Exploits EXP/Java.HLP.A.938 4e56e880d81df1e9c28ef240019d58a2b365482d4ca151e0b7b17bd39619d8e6 [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Pycle.Gen 3a96ffd12e5fdef228c1b8bf72886b568aa2f60607f6af977753b812c26df65a [FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lama.DK.1 6142f41795133138be98ef92b56865ea090bd86da840024232e3f9daad57309f [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.3393 d71662f7b730c8e0fb096e607ad57bdfad972fc92b9e75f801b0229b36817d21 [FUND] Ist das Trojanische Pferd TR/Agent.1445.1 4e56e880d81df1e9c28ef240019d58a2b365482d4ca151e0b7b17bd39619d8e6 [FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Pycle.Gen ebdf0f21dd0af29012e40a8ff37e1b2a8db4d5a95210700f5889630db67c38d2 [FUND] Ist das Trojanische Pferd TR/Agent.1372 d15a38a7e10acd5e7d0674b6e15e38c376d8124503f822f466d471a7b4dd919e [FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen 3cd37177ee6f58c469689a5285c07806750c5acfe9584d82a8c1e6261bfe8936 [FUND] Enthält Erkennungsmuster des Java-Scriptvirus JS/Blacole.IZ Ende des Suchlaufs: Donnerstag, 26. September 2013 06:34 Benötigte Zeit: 2:56:43 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 26563 Verzeichnisse wurden überprüft 866323 Dateien wurden geprüft 174 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 47 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 47 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 18 Dateien konnten nicht durchsucht werden 866131 Dateien ohne Befall 39726 Archive wurden durchsucht 18 Warnungen 47 Hinweise
Ich kann mich erst wieder heute Abend darum kümmern...
-
Ich hoffe du machst keine Rettungs- oder Säuberungsversuche, sondern setzt das System und die Software von Original-Datenträgern und Downloads ausschließlich von Original-Seiten wieder auf.
Die Microsoft Security Essentials haben die letzten Monate bei Tests herstellerunabhängiger Sicherheitslabors immer versagt, die braucht man also nicht installieren (dann verlässt man sich auch nicht darauf).
-
Am besten auf Windows verzichten. Ich kann dir Arch Linux empfehlen.
Und wenn du schon dabei bist sollte man auch auf United Internet verzichten.Nur als Beispiel die Telekom: Bei der Hotline erreicht man immer jemanden. Wenn man jemanden mit Ahnung will, muss man beim Automaten nur irgendwas mit "technischer Support" sagen.
Gesendet von meinem Galaxy Nexus mit Tapatalk 2
-
Wenn du Java nicht brauchst, solltest du es gar nicht erst wieder installieren.
Und wenn doch, dann zumindest auf die Browser-Plugins verzichten.100% Sicherheit wird dir aber kein System bieten.
Lars
-
viel glück mit deinen prob hoffe wir könn uns helfen
Hast du irgend welche näheren Infos dazu, was da konkret über unsere Postfächer versendet wurde? Ich habe nur die Header der Rückweisungen. Und wie viel mehr wurde an existierende Adressen versandt? 1&1 gibt mir keine Infos dazu.
Und hast du noch was gefunden, wie die Passworte gefischt wurden? -
Ich hoffe du machst keine Rettungs- oder Säuberungsversuche, sondern setzt das System und die Software von Original-Datenträgern und Downloads ausschließlich von Original-Seiten wieder auf.
Naja, wenn ich bei jeder 'kleinen' Attacke (die der Scanner erst verzögert einfängt) mein Win-System komplett neu installieren wolle wäre ich nur noch damit beschäftigt. Vergeht doch fast kein Tag ohne. Ok, in diesem Fall gehe ich auf mein letztes Image (von vor ca. sechs Wochen) zurück.Die Microsoft Security Essentials haben die letzten Monate bei Tests herstellerunabhängiger Sicherheitslabors immer versagt, die braucht man also nicht installieren (dann verlässt man sich auch nicht darauf).
Als ich vor ca. einem 3/4 Jahr auf Security Essentials gegangen bin habe ich da noch anderes recherchiert, sonst wäre ich bei TrendMicro geblieben. OfficeScan ist halt sehr ressourcenhungrig. -
Am besten auf Windows verzichten. Ich kann dir Arch Linux empfehlen.
Und wenn du schon dabei bist sollte man auch auf United Internet verzichten.
Ne, Win ist ein Muss, spätestens bei meiner Angetrauten.Gesendet von meinem Galaxy Nexus mit Tapatalk 2
Aha, und du meinst, so 'ne androide Minitablette ist was sicher? -
Naja, wenn ich bei jeder 'kleinen' Attacke (die der Scanner erst verzögert einfängt) mein Win-System komplett neu installieren wolle wäre ich nur noch damit beschäftigt. Vergeht doch fast kein Tag ohne.
Was machst du denn mit deinem System? Das ist ja nicht ein einzelner Schädling, der da durchgerutscht ist, sondern ein kleiner Zoo. Und für einige der gefundenen Trojaner wird eine komplette Neuinstallation empfohlen - zumindest solltest du dein Backup überprüfen lassen, ob das wirklich sauber ist, sonst hast du das gleiche Problem bald wieder... -
Wenn du Java nicht brauchst, solltest du es gar nicht erst wieder installieren.
Und wenn doch, dann zumindest auf die Browser-Plugins verzichten.
Hm, die Plugs sind/waren deaktiviert? Ja, brauch ich Java? Keine Ahnung... -
Zitat von »habichthugo« Naja, wenn ich bei jeder 'kleinen' Attacke (die der Scanner erst verzögert einfängt) mein Win-System komplett neu installieren wolle wäre ich nur noch damit beschäftigt. Vergeht doch fast kein Tag ohne.
Was machst du denn mit deinem System? Das ist ja nicht ein einzelner Schädling, der da durchgerutscht ist, sondern ein kleiner Zoo. Und für einige der gefundenen Trojaner wird eine komplette Neuinstallation empfohlen - zumindest solltest du dein Backup überprüfen lassen, ob das wirklich sauber ist, sonst hast du das gleiche Problem bald wieder...
Na surfen, VDR fernbedienen u.ä. Wenn ich geahnt hätte, wie sch... die Security Essentials sind...
Ich zieh' mal das Backup auf und dann einen kompletten OfficeScan...
So'n Mist, dass der Rechner meiner Holden auch grade abgerauchtist.Steht einer der gefundenen Trojaner im Zusammenhang mit der Attacke meines Mailaccounts? Soweit ich das jetzt durch habe nicht...
-
-
Wenn 1&1 ihm seinen Mailzugang gesperrt hat, dann ganz sicher nicht weil haufenweise Bounces eingegangen sind. Sie prüfen nach Beschwerde durch andere Provider ob tatsächlich unter dem Account über ihre Leitungen ungewöhnlich viel Mails in dem beanstandeten Zeitraum rausgeht, erst dann wird gesperrt. Ganz so dumm und unfähig wie Viele annehmen sind die Leute dort wirklich nicht.
Man kann davon ausgehen dass die Mails tatsächlich mittels seiner Zugangsdaten über die Systeme von 1&1 verschickt worden sind. Bei dem Zoo der sich auf seinem Rechner angesammelt hatte ist es auch nicht unmöglich dass die Mails von seinem Rechner verschickt wurden.
-
siehe bitte hier. Zur Erklärung.
Wäre ja schön, widerspricht aber der Aussage von peter5566 weiter oben, dass das mit der Änderung seines Mail-Zugangspassworts aufhörte.
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!