[le_phew]

hallo zusammen

ich kenne mich eigentlich gut aus mit pcs/internet usw. aber ich habe eine frage, bei der ich die antwort nicht 100%ig sicher weiss.

ich habe von meinem provider ein schreiben bekommen in dem steht, dass ihnen von dritten zugetragen worden sei, dass von meinem pc aus spam oder viren verschickt worden seien. ich hab dann auch ne aufstellung bekommen von meiner mac-adresse, IP, an welchem datum und um welche uhrzeit das ganze passiert sein soll. nur war ich um die uhrzeit gar nicht am pc und der pc, modem und router waren komplett vom strom.
ich hab dann den helpdesk angerufen und der mitarbeiter meinte, dass es nichts damit zu tun hat ob mein pc lief oder nicht, das könne auch sonst mal passiert sein.

meine frage:
hat der helpdesk-tüpe recht und es besteht kein direkter zusammenhang zwischen der uhrzeit, wann das angeblich passiert ist und ob mein pc dann lief?
normalerweise schickt doch ein zombie-pc immer gleich volle kanne spams raus sobald er am internet ist und so wie es von meinem provider her tönt, passierte das nur einmal an besagtem tag.

ich habe auf dem pc 2 virenscanner (norton und antivir) die immer aktuell sind, spybot, immer die letzten windows updates und eine integrierte firewall im router. e-mailanhänge öffne ich nicht einfach so und ausser vielleicht mal einer MP3 lade ich nicht wirklich zeugs runter.

greets
le_phew

[pRiMUS]

ich frage mich, wie von deinem computer aus zeug verschickt worden sein soll, wenn die gerätschaften komplett vom strom waren. das heisst, es bestand keine internetverbindung, die mit diesem datum überhaupt übereinstimmen könnten.

wenn allerdings dein provider entsprechende logdateien hat, das von deinem anschluss aus eine internetverbindung bestant zum besagten zeitpunkt, müsste man deine aussage anzweifeln.

um ganz sicher zu gehen, das KEIN virus/trojaner auf deinem rechner ist, bleibt (meiner empfehlung nach) nur eine neu installation und prüfung aller dateien im nachhinein übrig.

es könnte durchaus sein, das ein bereits installierter trojaner diverse virenhersteller ausschaltet bzw die möglichkeit hat, diese zu deaktivieren bzw den trojaner gegen diese zu imunisieren. (alles schon vorgekommen, man weiss es nicht).

deiner beschreibung nach, scheint dein rechner allerdings "sauber" zu sein, sicher sein kann man sich aber sogut wie nie.

[mrphcr]

die sollen das erstmal beweisen.

[xaos]

Evtl. ist bei dir ja der Fall eingetreten der in der letzten c't beschrieben war?

In Nachbars Netz
ADSL-Provider bauen Netzwerk-Kurzschluss
c't 16/07, Seite 162

Habs nur grob angelesen, aber genau so ein Fall wäre da wohl denkbar wenn ich mich richtig erinnere.

[le_phew]

danke schonmal bis hierhin

@primus
das habe ich mich eben auch gefragt wie das gehen soll. der helpdeskler meinte wie gesagt, dass das auch zu einem anderen zeitpunkt hätte passieren sein können. ich nehme mal an das er damit meint, dass vielleicht die logs erst um diese zeit auf dem server geschrieben wurden. aber ansonsten.... ich bin mir jedenfalls ziemlich sicher, dass ich die kiste an dem tag gar nicht angestellt habe.
ich werde heute meine pcs mal alle auf herz und nieren prüfen und dann erst wieder ans netz lassen, wenn alle antivirus, antispam anti-irgendwas programme einen suchlauf gemacht haben.

@xaos
ich hab kein ADSL sondern surfe übers TV-kabel (sofern das einen unterschied macht was da im artikel beschrieben wurde) und ich verbinde auch nicht über WLAN sondern geh noch ganz "altmodisch" mit kabeln ins netz

[lumen]

Die Uhrzeit müsste aber stimmen, egal wann der log nun endgültig geschrieben wird.
Der c´t Artikel greift auch nur, wenn der Router an gewesen wäre, und z.B. ein ungesichertes WLAN zur Verfügung steht.

IPs können gefaked werden. Zwar erzählen wir auch, das man seine IP nicht verschleiern kann, Möglichkeiten gibt es aber trotzdem.
Von daher kann es durchaus möglich sein, das irgendein Rechner die Anfragen gesendet hat.
Du kannst HiJackThis drüberjagen und automatisch auf der .de Domain auswerten lassen.
Emsisoft hat kürzlich auch ein HiJack-Schnüffelhund fertiggestellt, eventuell gibt es da ne Testversion. Hab ich keine Infos zu.

[le_phew]

thx lumen. das bestärkt meinen verdacht immer mehr, dass da was an diesem schreiben vom provider nicht ganz stimmen kann.
das beste finde ich ja, dass die extre einen abusedesk eingerichtet haben auf dem man sich melden muss, wenn man massnahmen gegen das problem ergriffen hat und zurück kommt eine nicht zustellbare mail, weils die mailadresse nicht gibt von dem desk war irgend eine test mailadresse

[phoelynx]

das klingt alles schon SEHR komisch. Auch das mit der Mail, die zurückkommt. Die haben "von dritten" gesteckt bekommen, dass das von dir aus ging? dann sollen sie dir doch mal erzählen, wer das war und wie DER denn wiederum an diese daten gekommen ist.

Ich mag falsch liegen (bitte verbessert mich), aber hätten wir hier nicht nen Fall für den Datenschutz? Der provider darf doch log-files etc. nicht nutzen um eigenmächtig an Leute heranzutreten, oder? Dazu benötigt es doch immer noch nen gerichtlichen Beschluss und nen Rechtsanwalt. Wenn die sowas feststellen, müssten die Dir doch eigentlich ersma den Zugang sperren, sodass DU bei denen vorstelltig werden musst. Ansonsten wäre ja anzunehmen, dass Deine Maschine weiterhin ein Sicherheitsrisiko darstellen könnte, und das kann ja auch nicht in deren Interesse sein...

Einfach zu sagen "da hat uns jemand erzählt, dass SIE..." klingt irgendwie nicht ganz sauber, meiner Meinung nach.
Ich weiss, dass so Datenschutzfälle normalerweise bei so Sachen wie P2P-Sharing vorkommen aber erwähn das doch einfach mal am Telefon und schau mal, wie sie dann reagieren. Außerdem sollen sie Dir mal den Auszug aus den Logfiles zumailen (oder besser noch per Post zuschicken). Kannst ja sagen, Du wolltest damit zum Rechtsanwalt und Anzeige gegen Unbekannt erstatten. Ich würde da denen gegenüber ruhig mal mit Kanonen auf Spatzen schießen, vielleicht klärt sich dann plötzlich ganz von alleine

Und wegen Virenscanner: setz am Besten einen ein, der sich von der CD bootet. Falls Du DOCH nen Virus etc. hast und der im Bootsektor hängt, kriegste ihn so noch am ehesten weg.

PS: wer ist denn der provider?