E-Mail vom Telekom Abuse Team erhalten Virus/Trojaner

[Ryuuji]

Hallo,

ich habe gestern Abend eine Mail von der Telekom bekommen. Welche über die Telekom Mail kam die ich nie nutze und nur an einem Computer in Live-Mail abrufe.

Wortlaut ist ungefähr so:

Sehr geehrte Kundin,
sehr geehrter Kunde,

uns liegen Hinweise von Sicherheitsexperten vor, dass mindestens ein
Rechner, der sich über Ihren Internetzugang mit dem Internet verbindet,
mit einem Virus/Trojaner infiziert ist.

Die folgende IP-Adresse war zu dem genannten Zeitpunkt Ihrer
Zugangsnummer zugeordnet:

IP-Adresse:
Zeitangabe: 06.12.2014, 11:56:30 (MEZ)

Ich hätte ein paar Fragen bezüglich der mail. Ich habe zwar schon dem Telekom Abuse Team gestern Abend geschrieben, aber ich wollte trotzdem mal nachfragen.


Was meint die Telekom mit der Zeitangabe? Soll der Virus/Trojaner um diese Urzeit in unser Netzwerk eingedrungen sein? Da war aber kein Computer online. Höchstens könnte mein Surface aufgewacht sein oder sich aktualisiert haben.

Leider sagen Sie einem nicht ob es Ein Virus oder Trojaner ist, ebenso nicht wo man ihn sich eingefangen haben soll: beim Surfen, durch Mails, Phishing etc.

Nach langen googeln finde ich immer nur links wo es um Sperrung des Anschlusses geht oder Hacking, Trojaner, Spam Versand durch Mail, aber nicht von Infizierung des Netzwerks.

Auf meinen Computern läuft Kaspersky Internet Security 2014/2015.

Im Netzwerk sind 3 Win 7 Desktops, 1 Win 7 Notebook, 1 Surface SP3 und mein WHS 2011. Dazu kommen 2 Android Smartphones und ein Tablet, HP Officejet Pro 8600, PS3, Speedport Router und ein TP-Link als Access Point.

Auf den PC habe ich schon Kaspersky Schwachstellen, Schnelle, und Vollständige Untersuchung durchlaufen lassen, ebenso Rootkit. Auf meinem WHS 2011 läuft Microsoft Security Essential, da ich kein anderes Securtity Programm zum laufen bringen konnte.

Wie ich die Android Geräte überprüfen soll weiß ich nicht. Gibt es da auch Security Suites für? Spam Versand per Mail habe ich ebenfalls nicht festgestellt.

Was soll ich sonst noch machen? Überprüfungen etc.

Ich hoffe mal das mir die Telekom antwortet und noch mehr Informationen gibt.

 

[Fidel71]

Ist das die komplette mail oder nur ein Ausschnitt?

 

[JackSparrow]

Das wird wohl eine Fake Mail sein.
Würde die Telekom dir eine Mail schreiben, so reden die dich mit der korekten Anrede an. Auch würde wohl Kundennummer usw. in der Mail stehen.

Kannst aber mal mit der Hotline der Telekom telefonieren und nach dieser mail fragen. Sollte eine Telefonnummer in der mail stehen diese nicht nehmen.

 

[Fidel71]

Das war auch mein Gedanke. Ich vermisse nur nen phishing Link.

 

[ghostwriter2]

Es gibt auch dämliche Phishing-Mails. Hab da mal eine mit dem Scanner bei h**p://127.0.0.1/downloads/scanner... bekommen ^^

edit: Trotzdem abklären, ob es echt ist und ob ein PC/Smartphone/Tablet/... eventuell infiziert ist!

 

[Fidel71]

obwohl... ich hab das gerade gefunden https://telekomhilft.telekom.de/t5/...eder/qaq-p/374941/search-sort-type-order/date
kann also echt sein

 

[PsychoPC]

Wie ist die Absender Mail adresse von dieser Email? Aber mir kann keiner erzählen das die T-COM oder andere Provider auf deinen PC einen Virus oder Trojaner fund machen, du nutzt Kaspersky und das gibts auch für Android kannst aber auch AVG oder Avast nehmen und unter PC also Win teste mal ob ADWcleaner was findet? Sorry Provider ist kein Onlineschutzscanner das wäre mir völlig neu

 

[Fidel71]

Hört sich nach einem gehacktem email-konto an.
Virenscan!
PW vom Postfach an einem anderen PC ändern.

 

[Ryuuji]

Also die Anrede ist schon echt, zudem wurde auch die Kundennummer genannt, die Habe ich hier nur ausgelassenen. Also ich gehe davon aus dass die echt ist.

@Fidel71 Deinen link habe ich auch schon gelesen, nur geht es da um Spam, ich bekomme aber kaum Spam und versende auch keinen. (zumindest wurde ich nicht deswegen angeschrieben)
was meinst du mit Password ändern? Von dem Telekom Postfach oder von all meinen Mail Adressen?
Viren-scann habe ich schon mit KIS 2014/2015 durchgeführt.


Hier mal die komplette Mail:

Absender: "Deutsche Telekom Abuse-Team" <abuse@telekom.de>


| Kundennummer:
| Anschlussinhaber:

Sehr geehrte Kundin,
sehr geehrter Kunde,

uns liegen Hinweise von Sicherheitsexperten vor, dass mindestens ein
Rechner, der sich über Ihren Internetzugang mit dem Internet verbindet,
mit einem Virus/Trojaner infiziert ist.

Die folgende IP-Adresse war zu dem genannten Zeitpunkt Ihrer
Zugangsnummer zugeordnet:

IP-Adresse:
Zeitangabe: 06.12.2014, 11:56:30 (MEZ)

Wir empfehlen Ihnen jetzt folgende Schritte:

1. Bitte stellen Sie sicher, dass Ihr Computer frei von Viren und
Trojanern ist. Verwenden Sie hierzu bitte eine Schutzsoftware Ihrer
Wahl.

2. Ändern Sie dann sämtliche Passwörter auf Ihrem Computer – zum
Beispiel für Online-Banking, eBay und Amazon. Die Passwörter für
Dienste der Deutschen Telekom können Sie zentral im Kundencenter unter
https://kundencenter.telekom.de ändern.

Die Reihenfolge ist wichtig, da die neuen Passwörter direkt wieder von
Dritten ausgelesen werden könnten, wenn eine vorhandene Schadsoftware
nicht zuvor entfernt wurde.

Auf unserer Seite https://abusefaq.telekom.de haben wir Ihnen viele
hilfreiche Tipps und Links zum Thema "Sicherheit" zusammengestellt.

Bitte prüfen Sie auch die Einstellungen Ihres Computers, ob das
Betriebssystem und die installierte Software aktuell sind.

Sofern Sie Ihr Sicherheitsproblem nicht selbst lösen können, empfehlen
wir Ihnen, einen EDV-Fachmann hinzuzuziehen.

Wenn Sie Fragen zu unserer E-Mail haben, schreiben Sie uns an
abuse@telekom.de und geben Sie dabei bitte Ihre im Betreff genannte
Zugangsnummer an. Wir setzen uns dann umgehend mit Ihnen per E-Mail in
Verbindung.

Mit freundlichen Grüßen

Deutsche Telekom AG
SEC-CDM / Abuse-Team
T-Online-Allee 1
D-64295 Darmstadt
E-Mail: abuse@telekom.de

http://www.t-online.de/abuse
http://www.telekom.de

ERLEBEN, WAS VERBINDET.

Die gesetzlichen Pflichtangaben finden Sie unter:
www.telekom.com/pflichtangaben

Große Veränderungen fangen klein an - Ressourcen schonen und nicht jede
E-Mail drucken.

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie
die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen
Informationen sind nicht gestattet.

Die Mail wirkt echt außer das Herr/Frau, jedoch verwundert es mich halt mit dem Virus/Trojaner Fund. Würde es um Spam Versand von der E-Mail Adresse gehen würde ich es noch verstehen, aber es geht um Viren/Trojaner.

 

[xxxx]

Stimmt das können die ohne Deep Paket Inspection nicht raus finden und das dürfen die eigentlich nicht. Es kann aber auch sein das du eine Fehlkonfiguration eines Email Programms im Netzwerk hast, hatte ich auch mal da war mein Postausgangsserver nicht richtig konfiguriert da kam auch ne Abuse Mail von der Telekom.

 

[Ryuuji]

Ich habe als ein zigstes Email Programm Windows Live Mail auf all meinen Rechnern drauf und habe dort auch in letzter Zeit nichts geändert. Auf den Android Teilen nur die G-Mail app. Aber nirgends bis auf meinen Haupt PC das @Telekom Konto eingestellt/drauf.

 

[Hancock]

Das Abuse kann auch nur nicht-Email-Programm zustandekommen (wenn z.B. sich eine Firma bei der Telekom beschwert, weil jemand (du) ne DoS auf deren IPs fährt).
Und @xxxx: Das geht wunderbar ohne DPI, einfach auf die Anrufe der Betroffenen warten/selber heuristisch suchen.

Ich würd mal alle Windows Kisten auf Viren scannen (offline), falls da was auftaucht, hasts wahrscheinlich gefunden. Wenn nicht, dann die Android-Kisten. Sonst mal die Logs prüfen (der Speedport führt ja ein Verzeichnis der jemals angemeldeten Geräte), ob zu dem Zeitpunkt ein sonst unbekanntes Gerät im Netzwerk war (dann das WLAN-Passwort auf was wirklich gutes ändern).

 

[Ryuuji]

Also die Windows PC Habe ich bereits mit allen 4 Kasperky Scanns überprüft: Root, Schnell, Schwachstellen und Vollständige Untersuchung. Die Androiden muss ich dann heute Abend/morgen machen.

 

[ghostwriter2]

Dann überprüfe es mal mit einem anderen Virenscanner; gibt es nicht von Gdata eine Boot-CD inkl. update & Scanner?

(Ich meine, den einzigen Virus der letzten 20 Jahre - oder waren es 21 - habe ich mir mit Kaspersky als Scanner eingefangen, und ich habe überhaupt keinen blassen Schimmer WIE oder WO)

 

[M@rsupil@mi]

Bevor man jetzt X Scanner durchprobiert: Schon einmal geschaut, ob man zu dem Zeitpunkt die angegebene IP-Adresse überhaupt hatte? Wird ja häufig vom Router protokolliert.

 

[Fidel71]

Das PW von den email Postfächern ändern, kann auf alle Fälle nicht schaden.

 

[Ryuuji]

Ich habe jetzt eine Antwort von der Telekom bekommen.

vielen Dank, dass Sie sich an uns gewendet haben. Folgendes können wir
Ihnen zu den beschwerdegegenständlichen Vorgängen mitteilen.


So wurde die Schadsoftware entdeckt
-----------------------------------

Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein
Server, der als Falle für durch Schadsoftware befallene Rechner dient,
indem er einen Command&Control-Server eines Botnets simuliert. Ein
Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen
dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter
http://www.elektronik-kompendium.de/sites/net/1501041.htm finden Sie bei
Interesse eine gute Erklärung der Struktur eines Botnets sowie eine
schematische Darstellung.

Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um
den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports
80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der
Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese
Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern
gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An
DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam
versenden, usw.


Informationen zum detektierten Schädling
----------------------------------------

Den Beschwerden zufolge befindet sich in Ihrem LAN mindestens ein mit
mehreren Trojanern verseuchter Rechner.

Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem
Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt,
die relevanten Zeitangaben aus den Beschwerden haben wir in die
jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:

(Ip gelöscht) 00.000.000.00 Sa, 06.12.2014 11:56:30 MEZ Ermahnung

Mögliche Ursache: Fremdnutzung des lokalen Netzwerks

Also Soll es ein Trojaner sein. Zu der Zeit waren nur keine Desktop Rechner an. Das einzeigte könnte mein Surface sein. Da aber auch nur Connected Standby.

Meint ihr das die Zeitangabe richtig ist? bzw. wie genau kann die sein, dadurch kann man ja recht gut eingrenzen welcher Computer es sein könnte.

W-Lan ist verschlüsselt und hat eine Mac Filterung (nicht das beste aber besser als nur ein Passwort)

Mein Surface habe ich aber schon überprüft.

Was meinen die mit Ermahnung? Ich hab doch schon alles überprüft.

Außerdem welches E-mail konto meinen die überhaupt?

Das Telekom, oder Gmail, gmx, outlook?

Zudem schreiben sie noch

Zuallererst müssen die Schädlinge entfernt werden. Um die Chance zu
erhöhen, auch weniger verbreitete Manipulationen zu finden, empfehlen
wir einige kostenlose Anwendungen. Diese müssen zwar nicht alle
verwendet werden, man sollte jedoch fortfahren, bis das Problem gefunden
und beseitigt wurde. Dabei muss man beachten, dass einige Schädlinge den
Aufruf und Download sicherheitsrelevanter Seiten und Tools aktiv
blockieren können, so dass der Download dann von einem anderen Rechner
aus, nötigenfalls bei einem Bekannten, erfolgen sollte.

Zusätzlich zu üblichen Virenscannern kann auch das 'Tool zum Entfernen
bösartiger Software' von Microsoft geladen und ausgeführt werden. Unter
http://www.microsoft.com/germany/sicherheit/tools/malwareremove.mspx
bietet Microsoft diese Software zum Download an.

Deutschsprachig und auch recht einfach in der Anwendung sind die beiden
Varianten des EU-Cleaner, die unter https://www.botfrei.de zu finden
sind. Wichtig: Bitte unbedingt die Hinweise zu den Anwendungen auf der
Seite lesen und vor der Benutzung auch die Anleitung herunterladen!

Zum Einsatz auf bereits infizierten Systemen sind auch die folgenden
beiden Anwendungen besonders geeignet:

Malwarebytes Anti-Malware (Free Version) http://de.malwarebytes.org/
Wichtig: Da Malwarebytes auch einen Virenwächter installiert, der dem
Virenwächter einer bereits installierten Schutzsoftware ins Gehege
kommen könnte, sollte das Programm nach der Bereinigung deinstalliert
werden!

Ein ausgewiesener Spezialist ist das kostenlos erhältliche 'Kaspersky
Virus Removal Tool', da es keinen Virenschutz zur Verfügung stellt,
sondern als Reinigungs- und Rettungssoftware fungiert. Zu finden ist
dieses unter http://www.kaspersky.com/antivirus-removal-tool?form=1
(bitte wählen Sie dort die deutsche Sprachversion).

Sobald sich eine Schadsoftware auf einem Rechner 'eingenistet' hat und
diesen quasi 'beherrscht', hängt es jedoch mehr oder weniger nur noch
vom Geschick des Programmierers ab, ob eine ihm bekannte Schutzsoftware
seine Manipulationen überhaupt noch entdecken kann. Ganz besonders gilt
dies für sogenannte Boot- bzw. Rootkits, die sich selbst und weitere
Schadprogramme für das System 'unsichtbar' machen.

Das Mittel der Wahl wären dann Boot-CDs bzw. Boot-DVDs, mit denen man
den Rechner untersuchen kann, ohne dass das infizierte Betriebsystem
gestartet wird. Diese Möglichkeit bietet z.B. Avira mit der 'DE-Cleaner
Rettungssystem DVD', die unter https://www.botfrei.de/rescuecd.html zum
Download bereitgestellt wird. Wichtig: Bitte die Hinweise dort beachten
und auch die Anleitungen herunterladen!

Leider besteht jedoch nie die Gewissheit, wirklich alle Manipulationen
gefunden zu haben, so dass das System womöglich nach kurzer Zeit erneut
befallen wäre. Guten Gewissens können wir deshalb nur die vollständige
Neu-Installation des Betriebssystems empfehlen. Wichtige Informationen
und Anleitungen, die bei einer Neu-Installation beachtet werden sollten,
bietet Botfrei.de unter: https://www.botfrei.de/neuinstallation.html

Wenn Sie Ihr Sicherheitsproblem nicht selbst lösen können, raten wir
Ihnen, einen Experten bzw. eine Computerwerkstatt hinzuzuziehen.

Die tools muss ich mir dann wohl mal runterladen. Aber ich kann kaum 6 Rechner neuinstallieren. Vor allem nicht meinen Server. Soll ich dann auch meine Android Telefone löschen? Das würde fast einen Monat dauern bis wieder alles so läuft und einrichtet ist wie zuvor.

Aber ich müsste erstmal wissen welche PC davon betroffen sind. Oder soll ich einfach alle Programme über all meine Rechner laufen lassen?

Leider schreiben sie nicht wie sie es festgestellt haben/wer es ihnen gesagt hat und auch nicht welcher Trojaner.

 

[purzelbär]

Hört sich nicht gut an. Du solltest Alle bisherigen Passwörter egal für was, ändern und sämtliche PC's, Notebooks und Android Geräte auf Malware hin überprüfen und zwar nicht nur mit Kaspersky sondern auch mit anderen OnDemand Scannern und auf die Smartphones Android Malware Schutz Apps wie zum beispiel Avast Mobile Security installieren und dann damit überprüfen. OnDemand Scanner gegen Malware und Adware findest du zum Beispiel in meiner Signatur verlinkt. Alternative zu der grossen Scanner Aktion wäre das du deine PC's und Notebooks formatierst und neu aufsetzt.

 

[Valhal]

WLAN muss mit WPA2 und einem mindestens 10 stelligen PW gesichert sein. Alles andere knackt man in 10min.


In deinem Fall würde ich alle Windows Rechner ausschalten, eine Woche warten, danach mit einem aktualisierten Virenscanner scannen. Wenn du eine neue Malware hast, wird die von den Virenscanner nicht erkannt. Nach einer Woche in der Regel schon...

Alternativ gehst du manuell auf die Suche.... aber dafür brauchst du Windows Kenntnisse...

 

[Ryuuji]

Das W-lan hat WPA2 und auch über 10 Stellen.

Aber es wahren zu der Zeit keine Computer hochgefahren/am laufen.

Wie soll ich alles überprüfen? Bin jetzt doch etwas verunsichert, da ich schon wert auf Sicherheit lege und schaue was ich im internet mache, habe einen Adblock, ebenso öffne ich keine Mail anhänge, exe's, oder downloade irgendwelche Software. Ich habe einfach keinen Schimmer wie der Trojaner auf einen/meine Computer gekommen ist. Ich habe auch keine Trojaner symtome auf meinen Rechnern: trägheit, Verlangsamung, pop-ups, werbung oder sonst was