T-Online-Konto gehackt: E-Mail-Versand trotz Passwortänderung, wie ist das möglich?

[shortrange]

Hallo zusammen,

eine Bekannte von mir hat ein ziemlich großes Problem mit einem E-Mailkonto bei T-online.de. Vor knapp einem Monat hat sie von dem Abuse-Team der Telekom einen Brief bekommen, in dem ihr geschildert wurde, dass über ihr Konto Spammails versendet werden und sie bitte die Passwörter ändern solle.

Wir haben das zusammen gemacht und zusätzlich habe ich ihren Computer sowohl manuell von Malware befreit (nur oberflächliches, z.b. Ask-Toolbar) und danach nochmal mit c't Desinfect (hat auch ein paar Sachen gefunden, wurde alles beseitigt). Danach war auch erstmal Ruhe, gestern hat sie mich jedoch kontaktiert, dass es wieder losgeht.

Diesmal äußert sich es so, dass sie „Mail Delivery Failed“-Nachrichten der abgelehnten, über ihren Account versendeten Spammails erhält (mehrere hundert Stück).

Heute haben wir nochmals sämtliche Passwörter geändert. Alle Passwörter sind unterschiedlich, mehr als 8 Zeichen lang und bestehen aus abstrakten Abfolgen von Buchstaben und Zahlen.

Nur eine halbe Stunde, nachdem wir alle Passwörter geändert haben, kamen allerdings erneut sehr viele von den „Mail Delivery Failed“-Nachrichten.

Jetzt frage ich mich natürlich, wie so kurz nach der Passwortänderung erneut E-Mails versandt werden konnten? Es wird ja wohl nicht möglich sein, ein abstraktes Passwort innerhalb von 30 Minuten zu bruteforcen, zu erraten, o.ä.

Das einzige, was ich mir vorstellen könnte, ist, dass auf dem Computer immer noch Malware installiert ist, z.B. ein Keylogger, der das neu eingegebene Passwort gleich abgefangen hat.
Um dies zu überprüfen hatte ich die Idee, im gleichen Netzwerk Wireshark für längere Zeit mitschneiden zu lassen, was an Daten gesendet und empfangen wird. Könnte man im Datenverkehr auch eine mögliche Passwort-Übermittlung sehen?

Wie ist sowas generell möglich bzw. welche Möglichkeiten gibt es, das Versenden von weiteren Mails zu verhindern?

Vielen Dank für Eure Hilfe!

 

[Blue_Quarter]

Formatier die Kiste einfach und fertig

 

[tree-snake]

Mach die Kiste halt einfach platt.
Wieso soviel Aufwand wenn der PC dermaßen verseucht ist. Windows neu drauf geht 10x schneller und dann muss man sich danach auch nicht mehr rumärgern. Und nur so lernt der "Kunde" auch was, dass er mal wieder Mist gebaut hat und wohl überall auf Ja klickt.

 

[En3rg1eR1egel]

wireshark zum testen...

du hast ein kompromittieres system
du versendest spam
du hast keylogger drauf

und willst weiter dran rumdoktorn ?

hat auch ein paar Sachen gefunden, wurde alles beseitigt

wer setzt dir denn den floh ins ohr, dass du ein verseuchtes system sauber kriegen könntest ?
kompromittierte systeme sind immer neu aufzusetzen, punkt ende aus.

mal wieder ein paradebeispiel

 

[mrdeephouse]

PC komplett neu aufsetzen! Fertig

 

[Jesterfox]

Sicher das die Mails tatsächlich über ihren Account verschickt wurden und nicht nur ihre Adresse als Absender tragen? Dazu müsste man mal die Mailheader der Spam-Mail überprüfen, wenn die in einem der Bounces mit drin sind.

 

[KnolleJupp]

- CCleaner laufen lassen: https://www.piriform.com/ccleaner/download/standard.
- Malwarebytes laufen lassen: http://de.malwarebytes.org/mwb-download/?language=de.
- AdwCleaner laufen lassen: https://toolslib.net/downloads/finish/1/.
- Virenscanner (z.B. MSE http://go.microsoft.com/fwlink/?LinkID=231277) auf Aktualität prüfen und laufen lassen.
- Prüfen ob es Betriebssystem-Updates gibt.
- Geht sie über einen Router ins Internet, diesen auf die aktuellste Firmware bringen und auch dort das Zugangspasswort ändern.
- Nutzt sie WLAN auch dort das Passwort ändern.
- Anschließend eMail Passwörter nochmals ändern.

Hilft das alles nichts, ist der beste Rat: Betriebssystem sauber neu installieren... und der guten Frau den Umgang mit brain.exe beibringen.

Ich selber verwende z.B. nur "unsinnige" Passwörter, die nichts mit meiner Person zu tun haben, z.B. "e3774809". (Dieses habe ich mir natürlich gerade ausgedacht! )

 

[KTelwood]

Die Festplatte mit einer Zange rausbauen und verbrennen, eine neue Einbauen und windows neu draufmachen. Alle USB-Sticks konfiszieren und durchbrechen. Leute die eine ASK-toolbar auf dem Computer haben hätten in anderen belangen.....Syhpillistripperherpes. Da hilft kein Programm mehr, da hilft ausräuchern.

 

[shortrange]

Den PC neu aufzusetzen wird natürlich das einfachste sein, da habt ihr Recht.

Sicher das die Mails tatsächlich über ihren Account verschickt wurden und nicht nur ihre Adresse als Absender tragen?

Dafür, dass die Mails tatsächlich über ihren Account verschickt werden, spricht, dass die Telekom teilweise eine Versandsperre eingerichtet hat. Werden pro Tag mehr als eine bestimmte Anzahl von E-Mails verschickt und sie versucht etwas zu verschicken, kommt eine Mail von der Telekom, dass das Kontingent ausgeschöpft wurde sei und es erst in einigen Stunden wieder funktioniere.

 

[KnolleJupp]

Das erinnert mich an einen Kumpel... Schon ein paar Jahre her, die Zeit der LAN-Partys.

Er: "Mein Rechner ist in der letzten Zeit echt langsam und verhält sich komisch." (Nachdem wir schon 2-3 Stunden gezockt hatten.)
Ich: "Ähh, hast du mal 'nen Virenscanner laufen lassen?"
Er: "Ähh..., ...ich glaube ich habe so was...??!"
Anderer Kumpel: "Hast du den auch mal aktualisiert?"
Er: "...aktualisiert???"

Danach haben wir ihm ein aktuelles AntiVir aufgespielt und es machte nur Bing, Bing, Bing, Bing, Bing, Bing, Bing...
Danach haben wir ganz schnell sein LAN-Kabel ausgesteckt...

 

[arvan]

AntiVir machte damals durch seine Heuristik eh nur Bing Bing Bing ;-)

 

[KnolleJupp]

Trotzdem hatte ich Angst um mein sauberes System. Denn bei mir funktioniert brain.exe noch (jedenfalls die meiste Zeit).

@shortrange
Was du noch machen kannst habe ich ja oben schon genannt. Letzter Versuch. Hilft das nichts: Neu installieren!

 

[Luxuspur]

Man friemelt nicht an einem komprommitierten System rum ... sondern plättet und setzt sauber neu auf! Sry, aber all die Tools finden auch nur das was sie in ihrer Signaturdatenbank haben! Und Heuritsik & Co. sind nur für Leute die auch verstehen was sie tun und das sind definitiv keine Leute die in einem Forum nachfragen müssen!
Neue und maßgeschneiderte Malware findet kein Virenscanner der Welt. Das entdecken Profis höchstens in Handarbeit.

Dabei lernt man auch gleich die Bedeutung des Wortes: sauberes Backup ;p

 

[shortrange]

Alles klar, ich schlage ihr vor, das System platt zu machen.

Was ratet ihr mir, wie ich an die Daten auf der Festplatte kommen soll (natürlich ist kein Backup vorhanden)?

 

[purzelbär]

Sichere die Daten von ihr die nicht verloren gehen sollen auf zum Beispiel auf einem USB Stick und scanne diese dann mit 2 verschiedenen Scannern um Gewissheit zu haben das die sauber sind. Erst danach dann auf dem neuen System diese wieder verwenden.

 

[Jesterfox]

Dafür, dass die Mails tatsächlich über ihren Account verschickt werden, spricht, dass die Telekom teilweise eine Versandsperre eingerichtet hat. Werden pro Tag mehr als eine bestimmte Anzahl von E-Mails verschickt und sie versucht etwas zu verschicken, kommt eine Mail von der Telekom, dass das Kontingent ausgeschöpft wurde sei und es erst in einigen Stunden wieder funktioniere.

Das ist soweit ich das seh auch kein "üblicher" Bounce sondern direkt eine Fehlermeldung der T-Online Server, von daher muss das über diesen Account gelaufen sein.

 

[chrigu]

naja... platt machen bedeutet: alles weg... auch der virus, der sich irgendwo in den daten eingenistet hat.... also wird das mit "wie kriege ich die alten daten wieder" nichts..

mein tipp: da es mehr als einmal vorkam, das der mail-account als spamschleuder missbraucht wurde, solltest du dir (äh, pardon, dein "Bekannter") sich mal überlegen, warum das so ist und dein (ähm, sein) verhalten im internet grundsätzlich überdenken... wie sagt man heutzutage... einen seventwenty machen?

 

[taztbo]

Ich kann nur "installiere das System neu" nur unterschreiben... nachdem ich selber auch mal Opfer eines scheinbar sehr perfiden und ausgereiften Keyloggers geworden bin - der nannte, oder nennt sich Wolfeye, man beachte die Werbung, Sees Everything, sehr schön... - habe ich es auch mit allen möglichen Methoden zur Entfernung und Säuberung versucht. Letztlich aber erfolglos, diese Art von Software ist tief im System und sehr widerspenstig, sonst würde sie ja vermutlich auch nicht so gut funktionieren. Ich habe am Ende alles mehrfach gelöscht und formatiert, dann neuinstalliert, danach war dann Ruhe... "Auf Holz klopf"...

 

[shortrange]

Jetzt habe ich sie überzeugen können, dass jeder Bereinigungsversuch nichts bringen wird und ihr Betriebssystem neu aufgesetzt. Dabei habe ich sie gleichzeitig darauf hingewiesen, dass eine SSD das Notebook deutlich schneller machen würde.

Gesagt getan – jetzt ist ihr Windows neu installiert, das Betriebssystem ist in weniger als 10 Sekunden komplett einsatzbereit und es gibt keine Probleme mehr mit lästiger Malware.


Vielen Dank für Eure kompetente Hilfe!

 

[moshimoshi]

Mach die Kiste halt einfach platt.
Wieso soviel Aufwand wenn der PC dermaßen verseucht ist. Windows neu drauf geht 10x schneller und dann muss man sich danach auch nicht mehr rumärgern. Und nur so lernt der "Kunde" auch was, dass er mal wieder Mist gebaut hat und wohl überall auf Ja klickt.

immer so viel paranoia.

todo: kill alles was im task manager ist! fertig.