hallo,
also mein mail Account wurde gehäckt!
ich merkte es, als Mails schon als gelesen markiert waren, obwohl ich sie selber nicht geöffnet hatte. Nach ein paar Tests war es klar.
Gleich das pass geändert. Nach erneutem Einloggen Hinweis: 20 Login-Fehlversuche.
Meine mail-adresse war bekannt und man wollte meine Identität´erkunden. Das war gezielt. Womöglich wurde meine gesamte Korrespondenz samt Papierkorb kopiert?
gruß
Andreas42 
tobi16 „mail attack - was genau passiert?“
Hi!
Was genau passiert ist bzw. heruntergeladen wurde, als der Fremde Zugriff hatte, kann dir von uns natürlich niemand sagen, es sei der der Eindringlich antwortet hier selbst...
Evtl. könnte der Accountdienstleister über Protokolle ein paar IP-Adressen liefern. Keine Ahnung, ob das geht und ob dein (unbekannter Anbieter) das macht.
Du kannst prüfen, ob versendete Mails im Postausgang bzw. dem Ordner liegen, der gesendete Mails speichert.
Du solltest unbedingt alle Onlineshops, Banken, Dienste (usw.) die du über diesen Mail-Account im Zugriff hast prüfen und deren Passwörter ändern! Zusätzlich würde ich darüber nachdenken, eine Anzeige gegen Unbekannt bei der Polizei aufzugeben.
Bis dann
Andreas
gelöscht_305164 Andreas42 „Hi! Was genau passiert ist bzw. heruntergeladen wurde, als...“
Evtl. könnte der Accountdienstleister über Protokolle ein paar IP-Adressen liefern.
Es könnte auch der Rechner kompromittiert sein.
In diesem Fall würden unsere Ratschläge ins Leere laufen.
gelöscht_305164 tobi16 „mail attack - was genau passiert?“
Womöglich wurde meine gesamte Korrespondenz samt Papierkorb kopiert?
Ja.
Hast Du Dein Konto via Thunderbird etc. verwaltet, oder hast Du Deine Mails via Anbieter verwaltet?
Beispiel:
Meine Mehlkonten bei xxx.de verwalte ich mit Seamonkey. Der zieht mir die Nachrichten auf den Rechner, damit sind die beim Provider gelöscht.
Oder aber ich setze die Option "auf dem Server belassen". Setze ich als BackUp Funktion ein. Das ist nichts für schwache Nerven.
Vorschlag:
Thunderbird installieren, sämtliche mails auf den Rechner ziehen, Konto löschen.
Neues Konto einrichten.
Achja, gehackt: Vermutlich ist ein sehr schwaches Paßwort erraten worden, evtl. kommt der Angriff aus Deinem Umfeld.
tobi16 gelöscht_305164 „Ja. Hast Du Dein Konto via Thunderbird etc. verwaltet, oder...“
danke,Männer!
Heute wieder 39 fehlgeschlagene Loginversuche.
Die scheinen zu raten. Im Fall einer Kompromittierung wäre das ja nicht der Fall. Security Essentials meldet nichts. Ich habe mailprogramm, nutze aber den Browser.
Der Anbieter könnte angesprochen worden sein, etwas rauszugeben? Möglich, sie müssen sich ja nur als Verfassungsschutz ausgeben...Nun, sie hatten wohl bei einem Kommunikationspartner meine Adresse erfahren, beidem sie ebenfalls reingekommen sind.
Bis jetzt hält mein Passwort ja dicht.
danke erstmal
Andreas42 tobi16 „danke,Männer! Heute wieder 39 fehlgeschlagene Loginversuche....“
Hi!
Der Anbieter könnte angesprochen worden sein, etwas rauszugeben? Möglich
Nein, ich meinte, dass du den Anbieter ansprechen kannst um zu erfahren, welche IP die Zugriffe durchführt bzw. durchgeführt hat.
Nun, sie hatten wohl bei einem Kommunikationspartner meine Adresse erfahren, beidem sie ebenfalls reingekommen sind.
Was meinst du damit?
Bis dann
Andreas
tobi16 Andreas42 „Hi! Nein, ich meinte, dass du den Anbieter ansprechen kannst...“
danke, mach ich.
also mein zweites pasw entsprach nun den Sicherhaitsbedingungen, aber sie waren wieder drin, sind es wohl jetzt gerade auch, denn 2 Mails wurden als gelesen markiert, die ich nicht kannte. Sie wissen nun alles was ich geschrieben und gesendet habe. Nicht gut.
Andreas42 tobi16 „danke, mach ich. also mein zweites pasw entsprach nun den...“
Hi!
Um welchen Anbieter geht es? Web.de oder GMX? Von denen kenne ich die Meldung beim Login im Webinterface ("Login-Fehlversuche").
Hast du ein Smartphone, dass du parallel zum Abruf der Mails nutzt? Oder nutzt du einen zweiten PC der die Mails ebenfalls abrufen kann?
Hast du den oder die betroffenen Rechner schon mit einem Virenscanner geprüft, der an einem anderen PC heruntergeladen wurde und von CD/DVD startet?
Wie sieht es mit dem Betriebssystem, dem Browser, dem Mailprogramm, Java, dem Flashplugin und dem PDF-Reader aus? Sind alle Updates installiert? (Das sind die von Sicherheitslücken betroffenen Komponenten, die alle in der letzten Wochen mit Updates versorgt wurden, weil es Sicherheitslücken gab.)
Bis dann
Andreas
tobi16 Andreas42 „Hi! Um welchen Anbieter geht es? Web.de oder GMX? Von denen...“
Es ist GMX
Ja, wird von Smartphone parallel genutzt. Mit diesem habe ich einmal einen Fehllogin gemacht wegen PW Änderung. Es wurden aber 4 fehlgeschlagene Loginversuche angezeigt.
V scan nur intern gemacht, läuft eben ein vollständiger Scan.
Updates sollten automatisch erfolgen, manuell habe ich nichts unternommen.
Wenn jemand DRIN ist, und ich das PW ändere, ist er doch immer noch drin?
Andreas42 tobi16 „Es ist GMX Ja, wird von Smartphone parallel genutzt. Mit...“
Hi!
Ich würde mit der Virenscan-CD der c't scannen. Das liegt aber hauptsächlich daran, dass ich ein c't Abo habe und daher diese Ausgabe natürlich besitze. Die scannen mit bis zu drei Virenscannern.
Mit GMX hatte ich auch schon merkwürdige Effekte: beim Zugang über UMTS gab es die Meldung, das von meiner IP aus zuviele Zugriffe erfolgt wären und daher der Zugriff gesperrt würde. Am nächsten Tag war das Weg - ich hab das nie weiter untersucht. Es passierte so zwei oder dreimal. Ich tippe dabei auf den Pro7-UMTS-Zugang über D2. Dabei wird ein Proxy verwendet, evtl. greifen da teilweise zuviele UMTS-Nutzer gleichzeitig auf den Server - scheinbar von der selben IP (den Proxy) - und dann macht der Server dicht.
Wer weiß wie deine Handy-App für den Mailzugriff arbeitet. Ist das Smartfone immer an und ruft zyklisch die Mails ab? Oder werden die Mails evtl. auf einem anderen Server für dich abgerufen, um sie dann von dort an das Smartphone zu senden (ein Push-Dienst)?
Ich würde mal Mails von einer anderen Adresse an deinen GMX-Account senden. Dann mit dem Smartphone abrufen bzw. warten, bis sie da auftauchen.
Ist der Zugang noch nicht auf das neue Passwort umgestellt? Dann wird das vermutlich fleißig falsche Logins erzeugen.
Wenn du die Mails am Smartphone siehst, melde ich am PC bei GMX an und prüfe, wie die Mails da aussehen. Sind sie dann evtl. auf gelesen gestellt?
Bis dann
Andreas
tobi16 Andreas42 „Hi! Ich würde mit der Virenscan-CD der c't scannen. Das...“
uups, halt mal an, diese deine Nachricht hatte ich übersehen. Die Baumansicht macht mich ganz zippig.
Bitte also die folgenden Antworten entsprechend werten!
Danke Andreas, das gibt mir einen kleinen Hoffnungsschimmer.
Wäre schön, ich wäre da in eine harmlose Falle reingestoplert.
Der aufgefundene Schädling lässt diese Hoffnung allerdings wieder schwinden.
Ja, stimmt schon, das Phone ruft jede Stunde 1x ab, aber wohl erst, wenn ich es öffne, also eben nicht im Hintergrund!! -. Von einem Push weiß ich nichts.
Inzwischen habe ich bei GMX die Möglichkeit, bei vergessenem Passwort einen Code geschickt zu bekommen probiert. Dieser Code wurde aber als ungültig abgewiesen. Es ist möglich, dass GMX einfach gesperrt hat. Habe Router neu gestartet und dann weiter zu deinem Vorschlag:
Hat funktioniert. Sowohl auf Phone wie auf Browser meine Mail aus einem anderen Account erfolgreich empfangen, GMX wieder Login.
64 fehlgeschlagene Login Versuche sprechen allerdings nicht so ganz für diese These, alles wäre nur ein Spuk oder?
1- mache das ja schon ne Weile und dieser Vorgang war mir immer schon klar. Mir ist bisher nie unbewußt welche der mails wo abgerufen wurden und somit als gelesen markiert sind. Es heißt KEINE NEUEN MAILS, und die Anzahl der "neuen" Mails wird als rote Ziffer gezeigt.
2. Der Login-Wahnsinn trat plötzlich auf.
3. der Schädling ist nun wirklich nicht harmlos. Vielleicht bin ich trotz Beseitigung an einem total gehackten Rechner, der alles sieht was ich mache... .(aber der wird ja hier erst später im Thread angesprochen, Sprung dorthin).
Verwirrung jedenfalls groß...!!
gerhard38 tobi16 „Es ist GMX Ja, wird von Smartphone parallel genutzt. Mit...“
Und du bist sicher, dass nicht das Smartphone den Status auf "gelesen" setzt, allein dadurch, dass es in gmx nachsieht, ob es neue Post gibt?
Gruß, Gerhard
tobi16 gerhard38 „Und du bist sicher, dass nicht das Smartphone den Status auf...“
danke Gerhard, auch deine Nachricht habe ich glatt übersehen. Die Antwort darauf findest du eine Nachricht weiter oben, wo ich auf Andreas geantwortet habe!
aldebuedel tobi16 „danke, mach ich. also mein zweites pasw entsprach nun den...“
Hallo tobi16,
klingt nach größeren Problemen. Vielleicht findest du hier Rat:
http://forum.chip.de/viren-trojaner-wuermer/ , alternativ kannst du dein System neu aufsetzen. Ist vielleicht die beste Lösung.
Viele Grüße.
tobi16 aldebuedel „Hallo tobi16, klingt nach größeren Problemen. Vielleicht...“
hmmm, ok, aber sollte ich nicht zuerst genaueres herausfinden, ob ich überhaupt einen Infekt habe.??
Wenn ein Trojaner dabei ist, wieso gibt es dann die fehlgeschlagenen Loginversuche?
Würde der denn nicht einfach meine PW Eingabe erschnüffeln?
Ich weiß auch nicht, diese Infektions-Geschichte ist ja erstmal sehr weit gefächert, da weiß ich nicht, wo ich anfangen soll. Habe noch ein Backup des Systems, ist halt etwas älter.
Kann ich in den Prozessen denn nichts ausfindig machen? Ich bin erstmal sehr hilflos. Eine Prüfung mit einem Helfer dauert ja Tage. Danke jedenfalls für eure Unterstützung.
tobi16 Nachtrag zu: „hmmm, ok, aber sollte ich nicht zuerst genaueres...“
ok, also jetz komme ich grad nicht mehr über Browser rein: Nach dem Login kommt die Meldung:
Liebes GMX Mitglied,
Sie haben Ihr Passwort vergessen oder leider mehrfach falsch eingegeben?
Wurde jetz da zu oft eingeloggt?
Scanne gerade mit MWB, habe den Rechner aber nicht neu gestartet.WErde langsam mal anfangen, meine Daten zu sortieren und zu sichern...ich schaue in Abständen mal hier vorbei..
Maybe tobi16 „ok, also jetz komme ich grad nicht mehr über Browser rein:...“
Moin,
wenn Du Dich mit Deinem PW nicht anmelden kannst, ist es wahrscheinlich, dass dieses geändert wurde.
Das würde heißen, es hat wieder jemand geschafft, auf Dein Konto Zugriff zu bekommen.
Erstelle mal ein möglichst komplexes Passwort (alphanumerisch mit Sonderzeichen).
Dafür kann man auch einen Passwortgenerator nutzen:
16 Zeichen sollten es schon lang sein. Notiere oder speichere es nicht auf dem PC und teste es aus. Zugriff auf das Mail-Konto solltest Du momentan nur von einem anderen Rechner machen.
Gruß
Maybe
tobi16 Maybe „Moin, wenn Du Dich mit Deinem PW nicht anmelden kannst, ist...“
wurde nicht geändert. habe eben ein Mailprogramm startklar gemacht, damit kann ich abrufen.
Anscheinend waren es zuviele Loginversuche, die diejenigen getätigt haben und die Meldung ausgelöst haben. Mein PW hat 17 Zeichen.
Trotzdem muss ich überlegen, wie ich da in Zukunft rauskomme. GMX werde ich noch kontaktieren, die Polizei auch. Der Punkt ist, die sind nicht zum Spaß da und lesen jetzt wohl überall mit, wo ich auch bin. Hier zum Beispiel.
gilt das jetzt auch noch? Hab ja noch das Smartphone? Die Nummer dafür dürfte evtl. schon bekannt sein, vielleicht in irgend ner Mail gelesen. Danke- ich warte begierig auf eure Antworten
(und wie zum Kuckuck kriege ich die Schrift kleiner? 
- nee, was schlimmer ist, auf dem Smartphone kann ich keinen Text in dieses Java-Fenster schreiben!)
tobi16 Nachtrag zu: „wurde nicht geändert. habe eben ein Mailprogramm startklar...“
ich hoffe mal, davon ausgehen zu können, dass gerade niemand im Konto ist. Zu dumm, ich hätte sie beim Abrufen gleich vom Server löschen sollen, aber da sind ja auch andere Ordner.
SE hat eben einen Bösling gefunden, entfernt worden.
Es ist der da:
MWB läuft inzwischen immer noch...
tobi16 Nachtrag zu: „ich hoffe mal, davon ausgehen zu können, dass gerade niemand...“
PS: es gibt bei GMX die Option, sich einen Code schicken zu lassen, denn ich kann ja abrufen, aber nicht über FF einloggen. Soll ich das mal lieber nicht tutn?
Zur Sache an sich:
Aber ich möchte eure Meinung dazu hören bezügl. der möglichen Motivation der Angreifer. Ich bin nicht ganz sicher, ob er gezielt oder zufällig war.
Es gibt 2 Thesen:
1) der Angriff war gezielt.
2) ich habe neulich eine ziemlich böse Spam mail gelöscht, ich denke sie war bereits ausgefiltert worden. Aber davor hab ich sie aus Neugierde gelesen. Diese typische "Zahlen Sie den Betrag, den Sie uns schulden, oder es gibt Konsequenzen, im Anhang die Rechnung " oder so ähnlich. Geöffnet habe ich den Anhang natürlich nie.
Es ist auch ein Zusammenhang der beiden Thesen möglich, und für erstere gibt es durchaus gewisse Verdachtsmomente, so dass ich bisher noch von dieser ausgehe.
Deshalb möchte ich von euch hören, wie ihr die zweite These einschätzt. Ist es möglich, sich ohne Öffnen was zu fangen? Vielleicht hat der gefundene Schädling auch gar nix mit meinem GMX zu tun...
Bisschen Spekulation täte mir jetzt gut..
tobi16 Nachtrag zu: „Es ist wohl vorbei, ich muss alles durchchecken, Rechner...“
Also, momentan komme ich wieder rein, war wohl eine Sperre von GMX.
Trotzdem, es ist nicht gesagt, dass das alles eine Farce ist. Eben gerade 64 fehlgeschlagene Logins. Das deutet doch auf einen Angriff hin. Vorher auch schon ab und an über Phone abgerufen, alles normal gewesen bis gestern.
Schädling gefunden- wer weiß was da noch los ist...ich könnte jetzt ins trojaner-board und 3 Tage scan- Übungen absolvieren.. Ach ja, und ich gehe als Admin ins Netz, das ist mir klar, dass wenn jemand will, findet er ne Lücke.
wenn meine Mails gelesen wurden, bin ich ziemlich gläsern, was sehr unangenehm sein kann. Vielleicht hat der Schädling auch nix mit dem Angriff zu tun.
Meine Vermutung: ich wurde angegriffen, habe ein neues 12 stelliges Passwort gemacht, mit groß-klein, Sonderzeichen. Wieder gehackt. Dann 17 stelliges neu gemacht und dann GMX Sperre.
Maybe tobi16 „Also, momentan komme ich wieder rein, war wohl eine Sperre...“
Du kennst ja die generell angeratene Vorgehensweise bei Virenfunden?
Das System neu installieren! Oder ein sauberes Image zurückspielen.
Der AV kann Dir lediglich zeigen, was er gefunden hat. Jedoch können noch andere Schädlinge im Hintergrund werkeln, die inzwischen runtergeladen worden sind.
Viele speichern ihre PW in Firefox und Co.
Ich rate davon generell ab und mache es selber auch nicht. Denn verschiedene Malware kann diese PW auslesen übertragen.
Auch das manuelle Eingeben bietet keine komplette Sicherheit, wenn man sich z.B. einen Keylogger einfängt. Aber die Wahrscheinlichkeit der Spionage ist geringer.
Was man in der Firma niemals machen sollte, ist zu Hause kaum ein Problem: Die PW auf einen Zettel schreiben.
Gruß
Maybe
tobi16 Maybe „Du kennst ja die generell angeratene Vorgehensweise bei...“
ja, überlege gerade ob das eine oder das andere. Jedenfalls ist hier nichts mehr sicher.
Übrigens auch nach dem Neu Aufsetzen nicht, denn die Angreifer werden wieder kommen.
Maybe tobi16 „ja, überlege gerade ob das eine oder das andere. Jedenfalls...“
Übrigens auch nach dem Neu Aufsetzen nicht, denn die Angreifer werden wieder kommen.
Ja, das ist das frustrierende. Es ist eigentlich reine Wahrscheinlichkeitsrechnung. Wie hoch ist die Wahrscheinlichkeit, dass der Rechner wieder infiziert wird?
Hast Du mal über die Installation einer Linux-VM nachgedacht, die z.B. nur für Email und Internet genutzt wird?
Unter Virtual Box ist das inzwischen relativ leicht machbar und sicherer als jede Sandbox.
Es gibt auch schon Komplettlösungen, die speziell für das Banking erstellt worden sind:
http://www.chip.de/downloads/BitBox_48987303.html
Als Live Systeme gibt es noch Bankix und Webconverger.
Das nur als Alternative.
Gruß
Maybe
aldebuedel tobi16 „ich hoffe mal, davon ausgehen zu können, dass gerade niemand...“
Hallo tobi16,
deine Java Version 6.0.19 ist ziemlich alt und enthält Sicherheitslücken. Ich würde diesem System nicht mehr vertrauen.
Viele Grüße.
tobi16 aldebuedel „Hallo tobi16, deine Java Version 6.0.19 ist ziemlich alt und...“
danke, tu ich auch nicht. Gestern habe ich es versucht zu erneuern, geht aber nicht Fehler 2203. Das alte lässt sich nicht deinstallieren. Ich dachte immer das erneuert sich von selbst?
Heute wieder 6 fehlgeschlagene Logins, das heißt wohl, dass sie beim 7. mal reingekommen sind.
Von jetzt an stehe ich unter Beobachtung, egal ob ich ein neues System aufspiele. Die bleiben dran. Das ist kein Spiel.
winnigorny1 tobi16 „danke, tu ich auch nicht. Gestern habe ich es versucht zu...“
Das ist kein Spiel.
Natürlich nicht. - Setz' den Rechner neu auf und vergebe von einem anderen Rechner ein neues Passwort...
Und surfe nicht als Admin - damit macht man es den Stinkern nur zu leicht!
tobi16 winnigorny1 „Natürlich nicht. - Setz' den Rechner neu auf und vergebe...“
danke an alle auch vorherigen Beiträge.
Ich mach mich also mal demnächst dran, mein Backup aufzuspielen. Vorher muss ich Daten noch wo hinlegen. Weiß aber nicht, wie das mit extrenen ist und die Angreifer lesen ja wohl hier mit. Meine Passwörter sollte ich auch irgendwie mitnehmen, sind teilweise gespeichert.
Nützt wohl auch nichts, solange vom Netz zu gehen, oder?. Noch jemand einen Step by Step Vorschlag? Ich gehe nachher zur Polizei.
Dann diese Virtual Box ist ziemlich interessant. Das wird ein langwieriges verfahren, aber immer noch weniger zu tun als auf dem trojaner-board.
winnigorny1 tobi16 „danke an alle auch vorherigen Beiträge. Ich mach mich also...“
Nicht vergessen: Vorher von einem anderen Rechner aus ALLE Paßwörte durch neue ersetzen und die notieren - nicht speichern!
tobi16 winnigorny1 „Nicht vergessen: Vorher von einem anderen Rechner aus ALLE...“
hm, ok, dazu muss ich mir erstmal ca 100 Stück Wörter im FF schauen und notieren. Weitgehend eben Foren und sowas. Ich versuche das Fenster zu fotografieren und zu drucken- halt mal mein Drucker ist auch über WLAN angeschlossen- Egal- sie sind ja ohnehin bekannt.
Im Moment bin ich kein Admin mehr, hatte das vor einiger Zeit wieder auf Admin gestellt, da es mich richtig genervt hat, jedesmal den B zu wechseln. Nach einem neu Aufspielen fehlt halt doch das eine oder andere programm. Also während des neu Aufspielens keine netzverbindung, vielleicht nützt das ja was
Habe ein Backup das ist 1 jahr alt. Dann gehts erstmal wieder mit Aktualisieren los. Dann will der Rechner wieder Admin Rechte, ich krieg die Motten mit Windows, echt. Kenne Leute, die sind deshalb auf Mac umgestiegen. Aber lass uns das nicht vertiefen. Meine PWörter muss ich iwie gedruckt bekommen..
