Hallo Leute,

ich bin neu hier im Forum aber langsam am Verzweifeln und weiß nicht mehr weiter.

Vor 1 1/2 Wochen habe ich bemerkt, das jemand meine E-Mail Adresse dazu Verwendet hat, SPAM-Emails zu versenden. Hier einmal der Inhalt der Mail vom 22.10.2015:



Hello!


New message, please read http://buydomainsforcheap.com/perfect.php


Jan-Uwe Ballauf


Auffällig dabei ist, das der Versender NUR Personen angeschrieben hat, die Ich auch bereits kontaktiert habe, Jedoch habe ich viele der Personen über unterschiedliche Wege kontaktiert, woher ich mich gefragt habe, wo der Angreifer alle diese Adressen her hat.

Nunja, nachdem ich das Bemerkt habe, habe ich alle meine Passwörter geändert und meinen PC mit "Combofix" Auf Malware überprüft - Nichts gefunden.

Ich dachte also ich hätte das Problem gelöst.

Heute morgen Jedoch das gleiche spielchen, und nun bin ich auch auf den "JoeJob" gestoßen und Poste nun mal den kompletten Inhalt einer E-mail, die ich auf einer anderen E-Mail erhalten habe:




Return-Path: <admin [at] jan-uwe-ballauf.de>
Received: from vhost01.stelkom.eu ([77.94.129.4]) by mx.kundenserver.de
(mxeue101) with ESMTP (Nemesis) ID: [ID filtered]
<jan-uwe [at] ballauf.onl>; Sun, 01 Nov 2015 xx:xx:xx +0100
Received: from localhost (localhost [127.0.0.1])
by vhost01.stelkom.eu (Postfix) with ESMTP ID: [ID filtered]
Sun, 1 Nov 2015 xx:xx:xx +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at vhost01.stelkom.eu
Received: from vhost01.stelkom.eu ([127.0.0.1])
by localhost (vhost01.stelkom.eu [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP ID: [ID filtered]
Received: from WIN-NPPN1JPV75J (unknown [89.205.46.237])
(Authenticated sender: ppuconja [at] ihan.si)
by vhost01.stelkom.eu (Postfix) with ESMTPA ID: [ID filtered]
Sun, 1 Nov 2015 xx:xx:xx +0100 (CET)
From: Jan-Uwe Ballauf <admin [at] jan-uwe-ballauf.de>
To: "jam-man" <poor [at] spamvictim.tld>, "jan-uwe-ballauf" <poor [at] spamvictim.tld>,
"jan-uwe" <poor [at] spamvictim.tld>, "jp.peter" <poor [at] spamvictim.tld>
Subject: Fw: new message
Date: Sat, 31 Oct 2015 xx:xx:xx -0700
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_07421404.7AC0B616"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: [filtered]
Content-Language: en-us
Envelope-To: <poor [at] spamvictim.tld>
X-UI-Filterresults: notjunk:1;V01:K0:5D0FP5JPXMA=:EaLUZFW/I2vipMYZZlPD98JJRQ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This is a multipart message in MIME format.

------=_NextPart_000_0001_07421404.7AC0B616
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 7bit

Hey!



New message, please read <http://thomasanthonyguerriero.com/are.php?a3>



Jan-Uwe Ballauf


------=_NextPart_000_0001_07421404.7AC0B616
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

<html xmlns:v=3D"urn:schemas-microsoft-com:vml" xmlns:o=3D"urn:schemas=
-microsoft-com:office:office" xmlns:w=3D"urn:schemas-microsoft-com:off=
ice:word" xmlns:m=3D"http://schemas.microsoft.com/office/2004/12/omml"=
xmlns=3D"http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV=3D"C=
ontent-Type" CONTENT=3D"text/html; charset=3Dus-ascii"><meta name=3DGe=
nerator content=3D"Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
=2EMsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:2.0cm 42.5pt 2.0cm 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext=3D"edit" spidmax=3D"1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext=3D"edit">
<o:idmap v:ext=3D"edit" data=3D"1" />
</o:shapelayout></xml><![endif]--></head><body lang=3DEN link=3D"#0563=
C1" vlink=3D"#954F72"><div class=3DWordSection1><p class=3DMsoNormal><=
span lang=3DEN-US>Hey!<o:p></o:p></span></p><p class=3DMsoNormal><span=
lang=3DEN-US><o:p>&nbsp;</o:p></span></p><p class=3DMsoNormal><span l=
ang=3DEN-US><b>New message, please read</b> <a href=3D"http://thomasan=
thonyguerriero.com/are.php?a3">http://thomasanthonyguerriero.com/are.p=
hp</a><o:p></o:p></span></p><p class=3DMsoNormal><span lang=3DEN-US><o=
:p>&nbsp;</o:p></span></p><p class=3DMsoNormal><span lang=3DEN-US>Jan-=
Uwe Ballauf<o:p></o:p></span></p></div></body></html>

------=_NextPart_000_0001_07421404.7AC0B616--


Meine Fragen an euch sind nun folgende:
- Kann ich 100% davon ausgehen das es sich um einen JoeJob handelt oder nicht?
- Ist trotz Combofix und heute ausgeführtem Malwarebites eventuell doch mein PC Infiziert? (Ich nutze den Mozilla Thunderbird mit >5 verschieden E-Mails, jedoch wird nur von der einen E-Mail SPAM versendet)
- Was kann ich noch unternehmen gegen dieses Problem?

Ich danke euch vielmals bei eurer Hilfe :)

LG
Jan-Uwe Ballauf

Hallo Jan-Uwe Ballauf,
willkommen im Forum!



Auffällig dabei ist, das der Versender NUR Personen angeschrieben hat, die Ich auch bereits kontaktiert habe, Jedoch habe ich viele der Personen über unterschiedliche Wege kontaktiert, woher ich mich gefragt habe, wo der Angreifer alle diese Adressen her hat.
Mit hoher Wahrscheinlichkeit aus Deinem Adressbuch bzw. von Deinem Rechner. Dass Deine Mailadresse samt korrektem Namen als vermeintlicher Absender verwendet wird, soll Deine Kontakte dazu animieren, sich ebenfalls mit dem Schädling zu infizieren, den Dur Dir augenscheinlich auch eingefangen hast.




Nunja, nachdem ich das Bemerkt habe, habe ich alle meine Passwörter geändert und meinen PC mit "Combofix" Auf Malware überprüft - Nichts gefunden.
Das heißt gar nichts. Wenn sich ein Schädling erst einmal eingenistet hat, täuscht er mitunter auch Virenscanner. Es ist daher keine gute Idee, aus dem laufenden System heraus zu scannen. Besser wäre z.B. ein Programm, das komplett von DVD gestartet wird und den Rechner scannt, ohne dass das Betriebssystem gestartet wird. Aber auch dann hat man keine 100%-Garantie auf ein schdlingsfreies System, denn der Schädling muss dem Hersteller des Programms ja erst einmal bekannt sein, um erkannt werden zu können.

Auf Nummer sicher gehst Du nur, wenn Du Dein System komplett neu aufsetzt.



Poste nun mal den kompletten Inhalt einer E-mail, die ich auf einer anderen E-Mail erhalten habe:

Received: from vhost01.stelkom.eu ([77.94.129.4]) by mx.kundenserver.de

Bist Du Kunde bei Stelkom? Wenn ja, wäre die Mail vermutlich von Deinem Rechner gekommen.

Alles unterhalb der ersten Received-Zeile ist nicht sicher verlässlich, wenngleich auch ein gutes Indiz. Mal gesetzt, die anderen Headerzeilen stimmen, dann wäre die Mail von



Received: from WIN-NPPN1JPV75J (unknown [89.205.46.237])
(Authenticated sender: ppuconja [at] ihan.si)

verschickt worden, also von der IP 89.205.46.237 aus Mazedonien, wo ein anderer Benutzer ebenfalls unter Virenbefall leiden wird. Der Virus nutzt die Passwörter auf dem Wirtssystem, um Mails zu verschicken.



Meine Fragen an euch sind nun folgende:
- Kann ich 100% davon ausgehen das es sich um einen JoeJob handelt oder nicht?
Ein JoeJob ist was anderes. Damit wird versucht, einen Konkurrenten zu diskreditieren. Du hast Dir nur einen Schädling eingefangen, mehr nicht.



- Ist trotz Combofix und heute ausgeführtem Malwarebites eventuell doch mein PC Infiziert?
Es deutet vieles darauf hin, siehe oben.



- Was kann ich noch unternehmen gegen dieses Problem?

Siehe ebenfalls oben. Nach dem Neuaufsetzen dann bitte nochmal alle Passwörter ändern, denn es ist anzunehmen, dass der Schädling die Änderungen mitgeschnitten hat.

Nachtrag: Was für Deinen PC gilt, sollte erst Recht für Deinen Webauftritt gelten. Es ist denkbar, dass der Schädling Deine Domain als Landingpage missbraucht. Ggf. Deinen Hoster zur Hilfe rufen.

Schönen Gruß
Mittwoch

Obige Domains sind anscheinend gecrackte Server, die von Spamski als Redirector missbraucht werden. Man landet dann auf:

http://business24pro.net/

bzw.

http://karrierejournal.de

bzw.

http://deutsch-garantie.me

Alles Domains mit 'Braunschweiger Stallgeruch'. Ab und an erhalte ich ähnliche Spams:


Hi!

http://beautifulfoxy.com/own.php

Lukasz Nawrocki

Hier landet die Weiterleitung vom gecrackten Server dann meist auf einer Pillz-Domain. Im Header dann viele Email-Adressen. Ganz offensichtlich wurden da Adressbücher gecrackt. Und in meinem Fall kann ich sogar sagen, die Adressbücher von ebay-Händlern, wo ich mal gekauft hatte. Anders gesagt: es muss nicht zwingend das eigene Adressbuch gecrackt worden sein, es könnte auch der PC eines Bekannten sein, der alle diese Adressen irgendwo auf seinem PC gespeichert hatte.

Richtig, es muss gar nicht zwingend der eigene PC sein. Es reicht schon, wenn irgendein PC irgendeines Bekannten vireninfiziert ist. Die Schadsoftware scannt dann dort das e-Mail-Adressverzeichnis und schickt alle Kontaktdaten heim nach Mütterchen Russland. Spamski schickt das Zeug dann an alle Kontakte. Und die Absende-Mailadresse wird problemlos gefälscht, es wird hierzu einer der Kontakte als "Absender" hergenommen, die im Adressverzeichnis stehen.

Dadurch, dass dann vermeintlich ein bekannter Kontakt als "Absender" in der Mail steht, soll der Adressat dazu verleitet werden, vertrauensvoll den Mailanhang zu öffnen und sich dann ebenfalls das Virus einzufangen.

Wohlgemerkt: der Versand der e-Mails passiert dabei auf ganz anderen Rechnern, d.h. meist auf irgendeinem gecrackten Rechner weltweit. Es wird dann einfach nur ein falscher Absender in den Mailheader gefälscht. Weil das techische Versendeprotokoll ("SMTP25-Standard") leider veraltet ist, ist das leicht möglich.

Ich danke euch auf jeden fall für all die netten Antworten. :)

Diese waren sehr hilfreich uns ich habe meinen Sonntag nun damit verbracht das System neu aufzusetzen und Das Mail-Programm sowie fast meine gesamten Internetaktiviäten auf eine Virtuelle Maschine out-zu-sourcen ^^.

Jetzt gleich noch schnell ein Snappshot der Maschine und dann gehts in den Verdienten Feierabend :)

Vielen lieben Dank.

Vielleicht sollte noch erwähnt werden, dass die Spam / der JoeJob von der IP 77.94.129.4 kam - aus Slovenien.

Das Muster ist schon längere Zeit zu beobachten, zuerst schienen es fast ausschließlich Yahoo-Benutzer zu sein, deren Adressbücher vermutlich nicht auf dem PC, sondern durch einen Hack bei Yahoo ausgelesen wurden.
Daher wäre interessant zu wissen, ob du eventuell einen Online-Mailservice benutzt und dort auch Adressen in einem Adressbuch gespeichert hattest.
Auf jeden Fall habe ich in den paar Fällen, wo ich mit den angeblichen Absendern das Problem untersucht habe, keine Malware auf den jeweiligen PCs finden können (bzw. sie haben keine gefunden, physischen Zugang zu den Rechnern hatte ich nicht und musste mich auf ihre Aussagen verlassen).

hoppala

Bei meinen Spams waren auch sehr viele Yahoo-Adressen im CC betroffen, was ebenfalls auf ein gecracktes Adressbuch bei Yahoo hindeutet. Deshalb sollte man auch einmal ggf. die Online-Maildienstleister unter die Lupe (Passwort ändern) nehmen.

...Online-Maildienstleister unter die Lupe (Passwort ändern) nehmen.
Es kann sich ebenso um einen Datenklau beim Provider handeln. Dann nützt ein neues Passwort nichts.

Abhilfe: jungfräuliche E-Mail-Adresse anlegen, nur beim verdächtigen Provider ins Adressbuch schreiben und nie, nie verwenden.

Kommt eine Spam-E-Mail, kann die Adresse nur beim Provider geklaut sein.

Wuschel

Hey Ho,

Ich finde es echt stark das Ihr mir alle so viele Tipps gebt :) echt vielen dank dafür.

Um nun auf einige Posts einzugehen Poste ich hier nochmal eine Mail, die Ich über mein Mailprogramm von der "Geklauten" E-Mail an eine Andere E-Mail von mir gesendet habe.

Es handelt sich bei Beiden Adressen im übrigen um E-Mail Adressen die ich über meinen "1&1 Dual Starter Windows - Webhosting-Vertrag" bei 1&1 angelegt habe.


Return-Path: <admin [at] jan-uwe-ballauf.de>
Received: from mout.kundenserver.de ([212.227.126.130]) by mx.kundenserver.de
(mxeue002) with ESMTPS (Nemesis) ID: [ID filtered]
<jan-uwe [at] ballauf.onl>; Sun, 01 Nov 2015 xx:xx:xx +0100
Received: from [192.168.192.37] ([178.202.194.241]) by
mrelayeu.kundenserver.de (mreue004) with ESMTPSA (Nemesis) id
0Md090-1a9zY80bFC-00IAHw for <poor [at] spamvictim.tld>; Sun, 01 Nov 2015 xx:xx:xx
+0100
To: poor [at] spamvictim.tld
From: Jan-Uwe Ballauf <admin [at] jan-uwe-ballauf.de>
Subject: Test
Message-ID: [ID filtered]
Date: Sun, 1 Nov 2015 xx:xx:xx +0100
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.2.0
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
X-Provags-ID: [ID filtered]
aANisEFc24lfIx+ArX57LmoQ4JbCxB2yOamkSUYvHl+xmHFZj3L0rQ+59RcHHjMGPUV1G5r
FQAM1A290d37EKs2imStuZLk5vd6RMNlWjTldwVnzvThTN+ruG8t+kImkhEf1+Y7qKtddNM
VBocZF1+GuF9cgO2b8Y1Q==
X-UI-Out-Filterresults: notjunk:1;V01:K0:1bEF87vcaHs=:+ToA7XRzWtN1nnhc/+DfcV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Envelope-To: <poor [at] spamvictim.tld>
X-UI-Filterresults: notjunk:1;V01:K0:89IGiDnfa2o=:eXn6RGhvuZ8nKUvW6hNpzmX4kO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=

Test

Hallo zusammen,

ich habe so ziemlich das gleiche Problem wie der thread-Eröffner. Ich habe einen Account bei T-Online und es wurden E-Mails an Personen verschickt, denen ich
a) E-Mails aus dem T-Online E-Mail Center geschickt habe
b) die ich im Adressbuch von T-Online vermerkt habe
c) von denen ich E-Mails erhalten habe

Ich nutze auf dem PC Outlook und 99% meiner E-Mails versende ich von dort. Das Outlook-Adressbuch wurde nach meinen bisherigen Erkenntnissen nicht ausgelesen und verwendet. Bevor die E-Mails im Outlook landen habe ich den Mailwasher dazwischengeschaltet. Außerdem AVAST Antivirus (Kaufversion), Trojan Remover von Simply Super Software (Kaufversion), Malwarebytes Anti-Malware und CCleaner; diese Programme laufen regelmäßig. Zusätzlich habe ich noch Avira EU-Cleaner und die Online-Scanner von BitDefender unf F-Secure checken lassen. Das "Tool zum Entfernen bösartiger Software" von MS ist auch drüber gerauscht. Von G-Data habe ich einen USB-Stick bespielt und mit diesem gebootet und das System ebenfalls komplett durchchecken lassen. Es wurde nichts gefunden. Die Wahrscheinlichkeit, dass ich mir lokal nichts eingefangen habe, dürfte relativ hoch sein.
Das ganze geht nun schon einige Wochen so. Auch nachdem ich von einem anderen Rechner aus (in der Firma) die Passwörter für das E-Mail Center von T-Online und das E-Mail Passwort geändert habe, trat keine Besserung ein. Habe auch das Windows-Passwort geändert; dazu war ich vorher offline gegangen (ich weiß, auch keine 100%-Sicherheit, ein keylogger kann so etwas auch aufzeichnen und später verschicken).

Folgende Informationen gibt es zu einem T-Online Leck:
20. August 2015
http://www.focus.de/digital/internet/deu...90784.html

Zitat:
Telekom warnt vor Spam Mails
Hacker knacken T-Online
20. August 2015 von Lena Aktuelles, IT-Sicherheit

Die Telekom wurde jetzt Opfer einer Hacker-Attacke: Die Bösewichte haben sich scheinbar Zugriff auf die E-Mail Konten zahlreicher Nutzer verschafft, die Adressbücher ausspioniert und versenden jetzt verseuchte Mails.

Die Hacker verschicken ihre Schadsoftware per E-Mail von den Konten der gehackten T-Online Nutzer. Die Mails selbst enthalten meist nur einen kurzen Text und natürlich den schädlichen Link. Klickt der Empfänger auf den Link, ist es schon passiert: Die Schadsoftware installiert sich selbst auf dem Rechner.
spam mails telekom
Die Telekom warnt ihre T-Online Kunden vor der E-Mail Spam-Welle
Telekom Spam: So lief der Hack

Die Hacker haben scheinbar nur die E-Mail Adressbücher der Telekom Kunden ausspioniert und dort Daten geklaut und sich nicht (wie oft bei solchen Cyberattacken üblich) auf dem Telekom Server eingenistet. Die verseuchten Spam Mails werden also nicht von den Telekom Servern selbst verschickt. Das macht es den T-Online Mitarbeitern momentan sehr schwer, die Verursacher zu finden und das Spam Problem nachhaltig zu beheben, weil sie keinen Einfluss auf den Versand der schadhaften Mails nehmen können. Und überhaupt hat die Telekom selbst derzeit noch gar keinen Überblick, wie viele E-Mail Konten tatsächlich Opfer der Hacking-Attacke geworden sind und wie die Hacker genau vorgegangen sind. Laut Angaben des Unternehmens seien auch noch andere E-Mail Anbieter von dem Hack betroffen – Namen wurden allerdings nicht genannt und bislang hat auch kein anderer Anbieter diese Aussage bestätigt. Die offizielle Stellungnahme zur T-Online Spam-Welle gibt es noch einmal zum Nachlesen auf der Telekom Website.
Schutz vor Telekom Spam-Mail

Auch wenn der Absender der Mail einer von euren Bekannten zu sein scheint, könnt ihr die verseuchten T-Online E-Mails relativ einfach erkennen. Der Betreff lautet nämlich meistens „Try it out“, „Have you already seen it“ oder „FW: Important“. Solltet ihr mit dem Absender nicht zufällig immer auf Englisch kommunizieren, könnt ihr also bei so einer Art Betreff sofort misstrauisch werden und die E-Mail am besten gleich löschen. Ein weiteres Indiz dafür, dass es sich bei der empfangenen Mail um ein Exemplar der Telekom Spam Welle handelt: Die persönliche Ansprache fehlt. Also gleich ab in den Papierkorb damit. Ansonsten gilt: Ändert sofort euer T-Online Passwort und setzt einen aktuellen Virenscanner ein. PC-SPEZIALIST berät euch gerne zu passenden Sicherheitslösungen und übernimmt die Installation der Anti-Virensoftware für PC oder Notebook. Sollte euer Rechner schon betroffen sein, helfen wir euch mit unserer professionellen Virenentfernung.
------------------------------------------------------
Hier der Inhalt der letzten E-Mail:
Betreff: Fw: new message

Zitat:
Hello!

New message, please read http://superhotthemes.com/trust.php

anonymisiert [at] t-online.de
------------------------------------------------------

Der Hyperlink sieht vollständig so aus:
http://superhotthemes.com/trust.php?01q
------------------------------------------------------
Hier der E-Mail Header:
Return-Path: <anonymisiert [at] t-online.de>
Received: from mailin55.aul.t-online.de ([172.20.27.4])
by ehead609.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
Thu, 05 Nov 2015 xx:xx:xx +0100
Received: from servidoritw.as29550.net ([151.236.45.14]) by mailin55.aul.t-online.de
with (TLSv1.1:ECDHE-RSA-AES256-SHA encrypted)
esmtp ID: [ID filtered]
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
X-No-Relay: not in my network
Received: from WIN-NPPN1JPV75J (118-170-123-243.dynamic.hinet.net [118.170.123.243])
by servidoritw.as29550.net (Postfix) with ESMTPSA ID: [ID filtered]
Thu, 5 Nov 2015 xx:xx:xx +0100 (CET)
From: <anonymisiert [at] t-online.de>
To: "anonymisiert" <anonymisiert [at] t-online.de>, "anonymisiert"
<anonymisiert [at] t-online.de>, "Tipp24.com"
<service-EMID0AA011O04B40I1BF50894GA00PBORU6 [at] dialog.tipp24.com>, "anonymisiert" <mailrobot [at] xing.com>
Subject: *SPAM* Fw: new message
Date: Wed, 4 Nov 2015 xx:xx:xx -0800
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_663B108F.783192CF"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: [filtered]
Content-Language: en-us
X-TOI-SPAM: y;1;2015-11-05Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: SPAM, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <anonymisiert [at] t-online.de>
X-Antispam: clean, score=50
X-Antivirus: avast! (VPS 151107-0, 07.11.2015), Inbound message
X-Antivirus-Status: Clean
------------------------------------------------------

Was kann man noch tun, außer das System neu aufzusetzen? (wobei das neu aufsetzen ja möglicherweise gar nichts bringt, wenn es keinen lokalen Schädling gibt)


Viele Grüße vom
Freund der Blumen

Ja, nachdem der Hack passiert ist, kannst du rein gar nichts mehr machen, denn alles weitere liegt außerhalb deines Einflussbereichs.
Die Adressbücher sind ausgelesen, der Versand passiert über andere gehackte Mail-Accounts.
Das System neu aufzusetzen bringt gar nichts, macht nur Arbeit, also lass es lieber.

Trotzdem ist es sinnvoll, das Passwort des Mail-Accounts zu ändern (solange nicht klar ist, ob die Hacker unter Umgehung des Passwortchecks an die Daten gekommen sind) und vor allem sollte das gleiche Passwort nicht woanders verwendet werden. Ich halte es zwar für unwahrscheinlich, dass die Hacker versuchen, Logindaten für andere Dienste zu erraten und mit dem Passwort auszuprobieren, aber ganz sicher wäre ich mir nicht. Aber das dämmt natürlich den Spam mit der gefälschten eigenen Absenderadresse nicht ein.

hoppala

Nur zur Ergänzung: der obige Link (auf einem gecrackten Server leitet weiter zu http://financesdailynews.net/, ganz gewöhnlicher Spam für binäre Optionen bzw. 'Deutsche Garantie'. Dahinter steht dann meist die Russenmafia, die letztendlich hier nur für eine neue Form des (ansonsten illegalen) Glücksspiels spammt.

... ganz gewöhnlicher Spam für binäre Optionen ...

Das ist richtig, ich habe aber den leisen Verdacht, dass die PHP-Scripte, die einen auf diese Seiten weiterleiten, bei geeigneter Browserwahl dem Benutzer auch schon mal einen Trojaner unterschieben. Eine einfache Weiterleitung wäre ja auch ohne PHP zu machen.
Ich habe schon bei einigen Spammer-Landingpages gesehen, dass sie unterschiedliche Inhalte präsentieren, je nachdem, ob man mit wget oder einem regulären Browser mit oder ohne Javascript zugegriffen hat.
Ohne so ein Script in den Fingern zu haben und zu analysieren (wozu ich im Moment auch gar nicht die Zeit hätte), kann man das aber nicht mit Sicherheit sagen.

hoppala