Hallo,

ich habe seit Mitte September Probleme mit meinem Web.de Postfach.
Um sicher zu gehen, dass es nicht an mir liegt, würde ich gerne wissen, wie ich mein Macbook optimal schützen kann.
Nach der ersten Spam-Flut (Typ: fw important, fw new message, mit einem Link), habe ich meinen Arbeits-Laptop (Windows) bei der IT abgegeben und ein neuen Image aufspielen lassen. Seitdem habe ich mich nur noch auf dem Iphone, Ipad und Macbook in mein Postfach eingewählt. Ich habe auch mobile Browser dazu genutzt. Trotzdem neue Spam Welle Ende September und jetzt am Wochenende von Samstag auf Sonntag.
Da mir das Ganze nicht geheuer war, habe ich mein Iphone wiederhergestellt und ein Backup geladen und beim Macbook auch Macintosh Platte gelöscht, formatiert und das neue Betriebssystem aufgespielt. Anschließend habe ich Eset Cyber Security runtergeladen - kein Virenfund auf dem Mac.
Ich habe web.de per Mail kontaktiert - heute haben sie mein Postfach gesperrt, standardisierte Mail: "Sicherheitssperre aufgrund von Unregelmäßigkeiten" - ob jetzt meine Mails oder tatsächliche Angriffe Wirkung gezeigt haben, weiß ich nicht. Das Konto lasse ich erstmal gesperrt - ist verbrannt und möchte ich nicht mehr nutzen.

Wenn ich die Festplatte neu aufgespielt habe, ist das System sauber oder kann auch etwas in den vorhandenen System-Dateien versteckt sein?

Danke und viele Grüße,
KW7

Wenn du ein Clean Install machst, also Festplatte komplett löschen und OS neu aufspielen ist das System sauber. Wenn du danach immer noch Spam erhälst ist es in den meisten Fällen von aussen. Das können angelegte Konten bei Shops sein die gehackt wurden, Foren, andere Dienste wo du deine Daten hinterlegt hast und selbst der Provider. Also im Grunde kannst du dagegen nichts tun ausser überall wo du deine Daten hinterlegt hast die Passwörter zu ändern oder alle Zugänge löschen und neue anlegen.

Danke für deine schnelle Antwort. Passwörter habe ich nach der ersten Welle und seitdem mehrfach geändert. Auch von anderen Laptops (die mir sicher schienen). Habe für die unterschiedlichen Shops und Mail Accounts verschiedenes Passwörter verwendet. Was mich wundert, ist, dass der Spam bei passwortänderung aufhört, was ja bedeutet das Passwort wird immer wieder gehackt. Web.de bzw 1:1 meldet nichts bzgl. Problemen mit gehackten Servern und ich habe jetzt mehrfach von sauberen Macs/Apple Geräten gelesen, die von diesem Problem betroffen sind. Ist das also etwas ganz Neues? Oder kann es auch eine Form von spoofing sein? Bringt es was den Account zu löschen oder geht es trotzdem weiter? Weißt du außerdem ob diese "Sperre" etwas bringt? Ich kann weiterhin Mails im Email programm von meinem iPhone empfangen, beim senden kommt eine Fehlermeldung. Ich möchte das Konto nicht unnötig freischalten, da mir online die Möglichkeit entzogen wurde das Konto zu löschen, würde aber gerne wissen, ob ich mich noch aktiv um eine Löschung bemühen sollte.
Danke!

Spoofing ist eine Möglichkeit, Botnetze, Zombie-PCs (das sind infizierte Rechner die in ein Botnetz eingebunden sind) usf. . Das ist ein großes Problem und es gibt keine verwendbare Lösung bisher.

Das du deinen Account nicht löschen kannst ist ja so was von Retro. Man kennt ja die deutschen Mühlen.. technologisch immer noch ein Desaster. Neues Konto erstellen und altes deaktivieren fertig.

So lange das Senden nicht eindeutig von dir aus geht (also E-Mai Adresse, korrekter Name und Spuren in deinem "Gesendet" Ordner sind diese Angriffe alle auf die oben genannten Möglichkeiten eingegrenzt.

Ausweichen auf Webdienste z.B. Mailbox, Posteo oder tutanota sind alternativen die du dir mal anschauen könntest.

Diese sind zwar nicht kostenlos, dafür ist hier die Sicherheit der Konten weitaus größer als bei web.de oder ähnliche Dienste.

Da kommt Spam her (PDF)

Hallo,
Um nochmal sicher zu gehen, ob ich dich richtig verstehe:
1. spoofing, bot Netze, Zombie pc -heißt das mein Rechner könnte auch nach Säuberung immer noch Teil davon sein? Weil du sagst, es gibt keine Lösung.
2.konto deaktivieren - das gestaltet sich ja bei Web.de schwierig. Soll ich die von Web.de eingeführte Sicherheitssperre so bestehen lassen, oder doch die 0900 wählen?
3. keine Mail im gesendet Ordner. Allerdngs wurden Mails mit verschiedensten Namen (Menschen die auf der gleichen Mail auf cc waren) verschickt - schaut man sich das Absender Konto an, steht da meine Email Adresse.
4. könnte es der WLAN Router sein? Können sich da Systeme einnisten? Ist ein technicolor gerät von Kabel bw. Habe keine firmware dazu gefunden. Aber dann würde ich mich an einen Fachmann wenden.
Danke!

Bei so vielen offenen Fragen glaube ich das du das PDF-Dokument nicht gelesen hast - Schade.

1. Nein, wenn dein Rechner neu aufgesetzt wurde ist eine Infektion unwahrscheinlich.
2. Du kannst bei Web.de mal nachhaken ob es möglich ist ein neues Konto anzulegen und das alte zu löschen. Damit kenne ich mich leider nicht aus.
3. Das ist schwierig zu beantworten. Damit meine ich das es nicht zwangsläufig an deinem Rechner liegen muss. Wenn dein Konto gehackt wurde geht es in erster Linie über deinen Provider.
4. Ja genau, alle Möglichkeiten ausschöpfen, also WLAN- und Router-Zugangskennwörter ändern. Ich kenne technicolor nicht aber Schwachstellen haben unterschiedliche Hersteller und diese können nur durch die Hersteller geschlossen werden.

Wenn du nicht sicher bist mach mal folgendes:

EtreCheck Log

1. Lade dir bitte EtreCheck herunter.
2. Entpacken und Ausführen
3. Setze über in dem Start-Fenster alle Haken wenn nicht schon voreigestellt und klicke Start EtreCheck klickst.
4. Anschließend Klicke oben links auf den Button Share Report und anschließend Copy Report to Clipboard.
5. Das Log befindet sich nun in der Zwischenablage (Clipboard). Füge den Inhalt nun mit Command-V hier in dein Thema ein. Bitte in Code-Tags siehe unten.

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR oder 7Z-Archiv zu packen erschwert mir massiv die Arbeit.
Auch wenn die Logs für einen Beitrag zu groß sein sollten, bitte ich dich die Logs direkt und notfalls über mehrere Beiträge verteilt zu posten.
Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit COMMAND+A) und kopiere es in die Zwischenablage mit COMMAND+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Cursor zwischen die CODE-Tags und drücke COMMAND+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Hi, na klar - habe ich gelesen. Aber es waren Stichworte einer Präsentation. Ich bin nun wirklich kein Experte und habe vor diesem Vorfall noch nie etwas von Zombie PC oder Botnet gehört

1. ok - gut!
2. Ich will gar kein Konto mehr bei denen...
3. Ja - fraglich nur, wie immer wieder das PW herausgefunden wird, wenn nicht über mich? Es sei denn es wird direkt vom Server des Providers abgezogen?
4. Habe einen bei Kabel BW (Technicolor) und bis Dezember noch einen bei congstar (Dsl Box).

Code: Alles auswählenAufklappen

ATTFilter

EtreCheck version: 2.5.5 (215)
Report generated 14.10.15, 21:36
Runtime 1:41
Download EtreCheck from hxxp://etresoft.com/etrecheck

Click the [Click for support] links for help with non-Apple products.
Click the [Click for details] links for more information about that line.

Hardware Information: (What does this mean?)
    MacBook Air (11-inch, Early 2014) 
    [Click for Technical Specifications]
    [Click for User Guide]
    MacBook Air - model: MacBookAir6,1
    1 1,4 GHz Intel Core i5 CPU: 2-core
    4 GB RAM Not upgradeable
            BANK 0/DIMM0
            2 GB DDR3 1600 MHz ok
        BANK 1/DIMM0
            2 GB DDR3 1600 MHz ok
    Bluetooth: Good - Handoff/Airdrop2 supported
    Wireless:  en0: 802.11 a/b/g/n/ac
    Battery: Health = Normal - Cycle count = 71 - SN = C01412304V9F90GA3

Video Information: (What does this mean?)
    Intel HD Graphics 5000
        Color LCD 1366 x 768

System Software: (What does this mean?)
    OS X El Capitan 10.11 (15A284) - Time since boot: less than an hour

Disk Information: (What does this mean?)
    APPLE SSD TS0128F disk0 : (121,33 GB) (Solid State - TRIM: Yes)
        EFI (disk0s1) <not mounted> : 210 MB 
        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 
        Macintosh HD (disk1) / : 120.11 GB (105.63 GB free)
            Encrypted AES-XTS Unlocked
            Core Storage: disk0s2 120.47 GB Online

USB Information: (What does this mean?)
    Apple Inc. BRCM20702 Hub 
        Apple Inc. Bluetooth USB Host Controller 

Thunderbolt Information: (What does this mean?)
    Apple Inc. thunderbolt_bus

Gatekeeper: (What does this mean?)
    Mac App Store and identified developers

Kernel Extensions: (What does this mean?)
        /Applications/ESET Cyber Security Pro.app
    [loaded]    com.eset.kext.esets-kac (601.01.22f01 - SDK 10.6) [Click for support]
    [not loaded]    com.eset.kext.esets-mac (601.01.22f01 - SDK 10.6) [Click for support]
    [loaded]    com.eset.kext.esets-pfw (601.01.22f01 - SDK 10.6) [Click for support]

Launch Daemons: (What does this mean?)
    [running]    com.eset.esets_daemon.plist [Click for support]

User Login Items: (What does this mean?)
    ESET Cyber Security Pro    Programm  (/Applications/ESET Cyber Security Pro.app)

Other Apps: (What does this mean?)
    [running]    com.apple.xpc.launchd.oneshot.0x10000000.esets_gui
    [running]    com.apple.xpc.launchd.oneshot.0x10000001.firefox
    [running]    com.apple.xpc.launchd.oneshot.0x10000007.EtreCheck
    [loaded]    com.eset.ecsp.6.3552
    [running]    com.eset.ecsp.6.53472

Internet Plug-ins: (What does this mean?)
    Default Browser: Version: 601 - SDK 10.11
    QuickTime Plugin: Version: 7.7.3

3rd Party Preference Panes: (What does this mean?)
    None

Time Machine: (What does this mean?)
    Time Machine not configured!

Top Processes by CPU: (What does this mean?)
         5%    WindowServer
         3%    firefox
         2%    hidd
         2%    fontd
         0%    esets_tray

Top Processes by Memory: (What does this mean?)
    430 MB    firefox
    425 MB    kernel_task
    246 MB    mdworker(16)
    139 MB    esets_daemon(2)
    66 MB    mds_stores

Virtual Memory Information: (What does this mean?)
    977 MB    Free RAM 
    3.04 GB    Used RAM (1.39 GB Cached)
    0 B    Swap Used 

Diagnostics Information: (What does this mean?)
    Oct 14, 2015, 09:24:34 PM    Self test - passed

    Standard users cannot read /Library/Logs/DiagnosticReports.
    Run as an administrator account to see more information.
         

Code: Alles auswählenAufklappen

ATTFilter

EtreCheck version: 2.5.5 (215)
Report generated 14.10.15, 21:57
Runtime 1:40
Download EtreCheck from hxxp://etresoft.com/etrecheck

Click the [Click for support] links for help with non-Apple products.
Click the [Click for details] links for more information about that line.

Hardware Information: (What does this mean?)
    MacBook Air (11-inch, Early 2014) 
    [Click for Technical Specifications]
    [Click for User Guide]
    MacBook Air - model: MacBookAir6,1
    1 1,4 GHz Intel Core i5 CPU: 2-core
    4 GB RAM Not upgradeable
            BANK 0/DIMM0
            2 GB DDR3 1600 MHz ok
        BANK 1/DIMM0
            2 GB DDR3 1600 MHz ok
    Bluetooth: Good - Handoff/Airdrop2 supported
    Wireless:  en0: 802.11 a/b/g/n/ac
    Battery: Health = Normal - Cycle count = 71 - SN = C01412304V9F90GA3

Video Information: (What does this mean?)
    Intel HD Graphics 5000
        Color LCD 1366 x 768

System Software: (What does this mean?)
    OS X El Capitan 10.11 (15A284) - Time since boot: less than an hour

Disk Information: (What does this mean?)
    APPLE SSD TS0128F disk0 : (121,33 GB) (Solid State - TRIM: Yes)
        EFI (disk0s1) <not mounted> : 210 MB 
        Recovery HD (disk0s3) <not mounted>  [Recovery]: 650 MB 
        Macintosh HD (disk1) / : 120.11 GB (105.48 GB free)
            Encrypted AES-XTS Unlocked
            Core Storage: disk0s2 120.47 GB Online

USB Information: (What does this mean?)
    Apple Inc. BRCM20702 Hub 
        Apple Inc. Bluetooth USB Host Controller 

Thunderbolt Information: (What does this mean?)
    Apple Inc. thunderbolt_bus

Gatekeeper: (What does this mean?)
    Mac App Store and identified developers

Kernel Extensions: (What does this mean?)
        /Applications/ESET Cyber Security Pro.app
    [loaded]    com.eset.kext.esets-kac (601.01.22f01 - SDK 10.6) [Click for support]
    [not loaded]    com.eset.kext.esets-mac (601.01.22f01 - SDK 10.6) [Click for support]
    [loaded]    com.eset.kext.esets-pfw (601.01.22f01 - SDK 10.6) [Click for support]

Launch Daemons: (What does this mean?)
    [running]    com.eset.esets_daemon.plist [Click for support]

User Login Items: (What does this mean?)
    ESET Cyber Security Pro    Programm  (/Applications/ESET Cyber Security Pro.app)

Other Apps: (What does this mean?)
    [running]    com.apple.xpc.launchd.oneshot.0x10000009.esets_gui
    [running]    com.apple.xpc.launchd.oneshot.0x1000000f.EtreCheck
    [loaded]    com.eset.ecsp.6.55392
    [running]    com.eset.ecsp.6.56032

Internet Plug-ins: (What does this mean?)
    Default Browser: Version: 601 - SDK 10.11
    QuickTime Plugin: Version: 7.7.3

3rd Party Preference Panes: (What does this mean?)
    None

Time Machine: (What does this mean?)
    Time Machine not configured!

Top Processes by CPU: (What does this mean?)
         6%    WindowServer
         2%    fontd(2)
         1%    esets_tray(2)
         0%    com.apple.WebKit.WebContent(2)
         0%    notifyd

Top Processes by Memory: (What does this mean?)
    453 MB    kernel_task
    369 MB    firefox
    340 MB    helpd(2)
    221 MB    mdworker(16)
    143 MB    esets_daemon(2)

Virtual Memory Information: (What does this mean?)
    60 MB    Free RAM 
    3.94 GB    Used RAM (919 MB Cached)
    0 B    Swap Used 

Diagnostics Information: (What does this mean?)
    Oct 14, 2015, 09:24:35 PM    Self test - passed
         

Alles Ok die Logs zeigen nichts verdächtiges an.

Zitat:

3. Ja - fraglich nur, wie immer wieder das PW herausgefunden wird, wenn nicht über mich? Es sei denn es wird direkt vom Server des Providers abgezogen?

Da gibt es unterschiedliche Varianten, das Thema ist sehr weitreichend und gerechterweise nicht in kurzen Sätzen wie hier zusammenfassend zu formulieren. Such mal einfach bei google nach Brut Force + hashfunktion + kryptografie und das sind gerade mal die Grundlagen.

für den check und die Hinweise! Toll, wie schnell du hier auf alle Anfragen reagierest.

Also, wenn das alles hier einen Sinn gehabt habe soll: Ich habe jede Menge gelernt!

Meine Zeit zwischen den Angriffen lag im Durchschnitt bei 14 Tagen - dann war das Passowort ja viell einfach nicht sicher genug... Und wenn die erst mal an einer Adresse dran sind, lassen die halt die Kombinationen laufen - faszinierend.

Ich ändere jetzt noch die Router Passwörter und hoffe es passiert nichts mehr.

Danke!

Gern geschehen