Moin!

Hab grad eine email erhalten:


Wichtige Information zu Ihrem T-Online Zugang

Sehr geehrte T-Online Kundin,
sehr geehrter T-Online Kunde,

Hinweis:
Bei weiteren Schriftwechseln übernehmen Sie für die zügige Bearbeitung
bitte die Betreffzeile dieser eMail. Dieser Vorgang wird von der
T-Online Abuse-Abteilung bearbeitet, die ausschließlich über die
eMail-Adresse abuse@t-online.de zu erreichen ist. Die Kundenberater der
T-Online Hotline können Ihnen in dieser Sache leider keine telefonischen
oder schriftlichen Auskünfte erteilen.

Wir freuen uns, dass Sie T-Online Ihr Vertrauen schenken. Leider haben
wir jedoch die Information erhalten, dass über Ihren T-Online Zugang
unverlangte eMail - Werbung (sogenannter Spam) versendet wurde.
Der Beschwerdeführer sendet uns typischerweise einen eMail - Header
(Kopfzeilen) der eMail mit. In jenem Header ist eine IP - Adresse, mit
Datum und Uhrzeit inklusive Zeitzone enthalten. Diese Daten haben wir
ausgewertet und auf dieser Basis Ihren Account ermittelt.

Erklärung:
IP - Adresse (Internet Protokoll-Adresse)
Es handelt sich hierbei um eine eindeutige Nummer, die Ihren Rechner
(nicht Sie) im Internet identifizierbar macht. Sie bekommen bei jeder
neuen Einwahl über T-Online eine neue, zufällig ausgewählte IP - Adresse
zugewiesen. Die IP - Adresse besteht aus einer Zahlenfolge, mit
folgendem Aufbau: vier Zahlenblöcke mit jeweils vier Zahlen von 0 bis
255, durch einen Punkt getrennt (z.B. 212.185.47.88). Die IP - Adresse
ist nicht zu verwechseln mit einer URL, z.B. http://www.t-online.de

Für die Versendung von Spam gibt es zwei mögliche Ursachen:

-> Die eMails wurden ohne Ihr Wissen von Dritten über Ihren T-Online
Zugang gesendet
-> Sie haben diese eMails selbst über Ihren T-Online Zugang gesendet

Falls Sie nicht wissen, wer die Spams über Ihren T-Online Zugang
versendet hat, überprüfen Sie bitte umgehend Ihren Computer bzw. Ihr
Netzwerk. Ist eine Fehlkonfiguration der Grund, müssen der PC und die
verwendeten Applikationen umgehend neu konfiguriert werden. Hinweise
hierzu erhalten Sie in der Bedienungsanleitung der einzelnen Komponenten
oder direkt beim jeweiligen Hersteller. Bei Netzwerken ist häufig ein
falsch konfigurierter Proxyserver oder Router die Ursache.

Mögliche Ursache für die Versendung von Spams bzw. allgemeinen
Massenmails ohne Ihr Wissen können auch Würmer, Viren oder Trojaner
sein. Falls Sie keinen Virenscanner haben, empfehlen wir Ihnen die
Virenschutz-Software Norton AntiVirus TM.

Als T-Online Kunde können Sie die Vollversion der Software 30 Tage lang
ohne zusätzliche Kosten testen und Ihr Virus-Problem mit hoher
Wahrscheinlichkeit beheben. Am Besten laden Sie sich Norton AntiVirus TM
gleich unter folgender URL herunter:
<http://www.t-online.de/testversion/sicherheit>. Sie können die
Virenschutz-Software aber auch von einer CD mit der aktuellen T-Online
Software 5.0 installieren.

Wenn Sie die eMails selbst über Ihren T-Online Zugang gesendet haben,
machen wir Sie auf unsere Allgemeinen Geschäftsbedingungen (Punkt 6.9)
aufmerksam. Darin ist das mehrfache Verbreiten von Inhalten mit
kommerziellem Charakter per eMail ausdrücklich als zu unterlassende
Beeinträchtigung des T-Online Dienstes aufgeführt.
In diesem Fall bitten wir Sie, das Senden von Spams künftig zu
unterlassen, damit wir die Angelegenheit als erledigt betrachten können.

Mit freundlichen Grüßen

T-Online International AG


Merkblatt Sicherheitshinweise

Um künftig zu vermeiden, dass von Ihrem PC unverlangte eMail - Werbung
(Spam) versendet wird, bitten wir Sie folgendes zu beachten:

(1) Zugangsdaten

Halten Sie Ihre T-Online Zugangsdaten bitte immer unter Verschluss, und
geben Sie diese niemals an Dritte weiter - weder auf telefonische, noch
auf schriftliche Anforderung. Es ist nicht auszuschließen, dass sich
Betrüger als Mitarbeiter der T-Com (Telekom) oder von T-Online ausgeben.
Niemand ist jedoch berechtigt, Ihre persönlichen Zugangsdaten zu
erfragen!

Sollten Sie nicht ausschließen können, dass Ihre Zugangsdaten bereits
Dritten bekannt wurden, empfehlen wir Ihnen folgendes zu überprüfen bzw.
durchzuführen:

(a) Bitte überprüfen Sie im Kundencenter unter
<http://www.t-online.de/kundencenter> ob fremde Mitbenutzer unter Ihrer
T-Online Kennung eingetragen sind. Ist dies der Fall, so löschen Sie
diese Mitbenutzer und richten sich neue Zugangsdaten ein. Neue
Zugangsdaten können Sie jederzeit unter der
Faxnummer 01805-858586 (0,12¤/min.)
Telefonnummer 0180-5305000 (0,12¤/min)/
eMail: Kundenservice@t-online.de anfordern.
Die Vergabe neuer Daten und deren Versand erfolgt ohne zusätzliche
Kosten.

(b) Zusätzlich empfehlen wir Ihnen in diesem Fall Ihre Datei- und
Druckerfreigabe zu deaktivieren. Sollten sie keinen Zugang zu ihren
Dateien über Internet benötigen und kein Netzwerk betreiben, besteht
keine Notwendigkeit die Datei- und Druckerfreigabe installiert zu haben.
Eine Hilfestellung hierzu finden Sie unter: <http://www.t-online.de/faq>

(2) Persönliches Kennwort

Speichern Sie Ihr persönliches Kennwort (Passwort) bitte nicht auf der
Festplatte ab, da dies ein Sicherheitsrisiko darstellt. Wir empfehlen
Ihnen, das Passwort bei jedem T-Online Start neu einzugeben und in
regelmäßigen Abständen zu ändern.

(3) Fehlkonfiguration

Häufig liegt die Ursache für Spamming (eMail-Werbung) in einer
Fehlkonfiguration. Bei Netzwerken kann dies ein falsch konfigurierter
Proxy-Server, Router oder Mailserver sein. Zu Ihrer eigenen Sicherheit
installieren und konfigurieren Sie jede Software bitte erst dann, wenn
Sie deren Dokumentation vollständig gelesen und verstanden haben.
Berücksichtigen Sie auch, dass Software oft fehlerhaft ist und deshalb
regelmäßig Ergänzungen bzw. Updates seitens der Hersteller
veröffentlicht werden. Installieren Sie in diesem Fall insbesondere die
sicherheitsrelevanten Zusätze für Ihre Programme.

Bitte haben Sie Verständnis dafür, dass von T-Online keine technische
Unterstützung für Fremdsoftware wie z.B. Betriebssysteme geleistet
werden kann. Sollten Sie technische Unterstützung benötigen, wenden Sie
sich bitte an den Hersteller des jeweiligen Produkts. Hinweise hierzu
erhalten Sie auch in der entsprechenden Bedienungsanleitung.

(4) Viren und Trojanische Pferde

Installieren Sie bitte keine Software oder Dateien aus unsicheren bzw.
unbekannten Quellen. Durch schadhafte Software laden Sie sich unter
Umständen so genannte "Trojanische Pferde" auf Ihre Festplatte. Diese
können auf Ihrem PC gespeicherte Daten auslesen und weiterleiten.
Behandeln Sie auch eMails mit Anhängen besonders vorsichtig, da jeder
Anhang einen Virus bzw. Wurm enthalten kann. Wenn Sie eMails erhalten,
in denen nicht ausdrücklich erwähnt wird, dass ein Anhang mit gesendet
wurde, öffnen Sie diesen nicht. Achten Sie bitte auch auf Links! Klicken
Sie keine Links an, die Ihnen nichts sagen - auch nicht, wenn Ihnen
diese z.B. per eMail zugesandt wurden.

Zum besseren Schutz sollten Sie Ihren Rechner regelmäßig mit einem
Virenscanner auf Viren überprüfen sowie ggf. eine Firewall zum Schutz
gegen Hacker-Angriffe installieren. Wir empfehlen Ihnen die
Virenschutz-Software "Norton AntiVirus TM 2004" bzw. die Firewall
"Norton TM Personal Firewall". Als T-Online Kunde können Sie beide
Vollversionen der Software 30 Tage lang ohne zusätzliche Kosten testen.
Am Besten laden Sie sich Norton AntiVirusTM sowie Norton TM Personal
Firewall gleich hier herunter:
<http://www.t-online.de/testversion/sicherheit>
Sie können die Virenschutz-Software aber auch von einer CD mit der
aktuellen T-Online Software 5.0 installieren.

Weitere Hilfestellungen zu diesen und anderen Themen finden Sie unter
<http://www.t-online.de/kundencenter> oder <http://www.t-online.de/faq>



Ist das ein Fake?????

Kann sein, daß du dir eine Backdoor eingefangen hast und ein Spam-Versender über deinen Rechner Spam verschickt hat!

Sieht eigentlich ziemlich echt aus, und da dich keiner auf irgendeine dubiose Seite locken oder aber deine Internetzugangsdaten per Mail zugeschickt haben will ...

Wie sieht es denn bei dir mit akt. Windows-Updates, Virenscanner, Spybot/Adware, ... aus?

was is den das schon wieder für ne scheiße, da wird der eigene traffic verwendet spam mail zu verschicken, es wird doch immer schlimmer heut zu tage, kann man den wirklich gar nicht mher ins internet gehen?
gibst doch garnet
is man mit NAV2004 und HW Firewall sicher vor dem ganzen oder passiert es nur bei "Ungeschützten" Rechnern

Hab spybot, ad-aware, CWshredder und Antivir drübersirren lassen hat wie üblich immer ein paar kleinigkeiten entdeckt...was jedoch zur zeit immer wieder kommt und anscheinend nicht beheben kann ist eine datei virus was auch immer mit namen ROINGS...das kommt immer immer wieder...
hab auch schon oft meine log gepostet:
Logfile of HijackThis v1.97.7
Scan saved at 12:05:54, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\-=Programme,Drivers,Updates=-\-=Programme=-\-=Systemoptimizer&Others=-\Hijack This\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38134.3148032407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

Hast du bei dir nen Mailserver laufen? Antwortet irgendein Progrgamm auf dem SMTP Port(110)?

Original geschrieben von Nagilum
Hast du bei dir nen Mailserver laufen? Antwortet irgendein Progrgamm auf dem SMTP Port(110)?

Keine Ahnung! ;) So bewandert bin ich nicht ;)

Dein System sieht jetzt sauber aus, aber das könnte dir weiterhelfen:
http://www.pestpatrol.com/PestInfo/r/roings_com.asp

Du wirst doch wohl wissen, ob du mal sowas wie einen Mailserver installiert hast?! :D

Zwei Bekannte von mir haben ebensfalls von T-Online so eine Mail erhalten und die Deppen hatten einfach an ihrem Mailserver das Relaying nicht deaktiviert. :eyes:

Öffne mal die "Eingabeaufforderung" und gib dort ein: "telnet localhost smtp". Tut sich da was?

Sonst irgendwelche Ports offen, die nicht offen sein sollten?

Original geschrieben von Nagilum

Öffne mal die "Eingabeaufforderung" und gib dort ein: "telnet localhost smtp". Tut sich da was?


Er konnte keine Verbindung herstellen ;)

Ich nutze das ganz normale Outlook express...mit ner web adresse 2xgmx und 1x t-online ;)

Original geschrieben von Com.Chakotey
Ich nutze das ganz normale Outlook express...mit ner web adresse 2xgmx und 1x t-online ;)
Du weisst wirklich nicht was ein Mailserver ist. :D Wie gesagt, ich gehe davon aus, daß du einen Trojaner hast/hattest, der von Spammern verwendet wurde.

Jeb ich weiß nicht was ein mailserver bzw. ich dachte immer das ist eben der server über den ich emails verschicke bei jedem anbieter ein andere...

Es könnte sein, dass bei dir im Hintergrund (gewollt oder vielleicht auch als Trojaner) eben so ein Mailserver läuft. Der wartet dann auf einem Port auf eingehende Anfragen, z.B. auf die Anfragen des Spammers.

Dieser Mailserver nimmt dann die Mails des Spammers entgegen und versendet sie weiter. Und da reicht dann eine einzige Anfrage aus, um tausende von Mails unter deinem Namen ins Netz zu stellen.

Wie gesagt - scan mal alle deine Ports. Selbst wenns ein Trojaner ist, dann muss er ja irgendwie von Aussen gesteuert werden können.

Per eingabeaufforderung mit netstat oder?

Original geschrieben von Com.Chakotey
Per eingabeaufforderung
Das wäre ein bisschen aufwendig, sind immerhin gut 65.000 Ports. :)

Was gibts denn da für Windows? Hmmmm.

Probier mal das hier: TCPView (http://www.sysinternals.com/ntw2k/source/tcpview.shtml)

Ganz einfache frage habe das teil ausgeführt aber keine ahnung ob das was dabei ist...kann ich ein screenshot posten oder steht da zuviel drin? ich meine damit ob da wichtige sachen stehen die normal nicht jeder sehen sollte...?

Original geschrieben von Nagilum
Du wirst doch wohl wissen, ob du mal sowas wie einen Mailserver installiert hast?! :D

Zwei Bekannte von mir haben ebensfalls von T-Online so eine Mail erhalten und die Deppen hatten einfach an ihrem Mailserver das Relaying nicht deaktiviert. :eyes:

Öffne mal die "Eingabeaufforderung" und gib dort ein: "telnet localhost smtp". Tut sich da was?

Sonst irgendwelche Ports offen, die nicht offen sein sollten?

weil jeder mit pc und dsl ein netzwerk administriert. gibt leute die benutzen das einfach.

Ich admininstriere gar nix, und ich weiss trotzdem noch, ob ich mir eine Mailserver installiert hab?!
Installierst du dir einfach mal so Software, ohne zu wissen wofür sie überhaupt zu gebrauchen ist?! :eyes:

@Com.Chakotey

Ja, kannst du hier relativ gefahrlos posten. Man sieht halt welche Programme im Moment bei dir laufen und welche Ports bei dir offen sind. Da hier aber niemand deine aktuelle IP Adresse kennt (ausser den Moderatoren vielleicht?) dürfte sich das Risiko in Grenzen halten.

Wo genau wird dieser Virus immer wieder gefunden ?

Eventuell hilft es die Systemwiederherstellung zu deaktivieren udn nach einem Neustart einen erneeuten Virenscan zu machen nebst der Benutzung von Spybot 1.3 mit der Immunisierung inklusive Blockung bösartiger Downloads für'n IE