Zitat:

ich würde jetzt mal bei der Telekom anfragen ob dem immer noch so ist.

Hab ich schon ganz am Anfang. Lt. diversesten Hotline-Mitarbeitern und E-Mail-Beantwortern wird jeder Vorfall, der T-Online gemeldet wird, mir gemeldet. Allerdings bekommt T-Online von ein und derselben Stelle in ein und demselben Fall nur 1x am Tag etwas mitgeteilt. Und auch nur IP-Adresse und Uhrzeit. Nichtmal wer es mitgeteilt hat, wissen sie. Wofür man diese Abteilung dann braucht, habe ich mir verkniffen zu fragen... Aber nachdem nun NICHTS mehr kommt, denke ich mal, dass auch nichts mehr geschah.

Zitat:

mach aber an einer nicht ausführbaren datei wenig Sinn oder? Mal abgesehen davon dass es viele viele legitime ADS gibt.

Warum sollte das keinen Sinn machen? Man könnte in den ADS eine base64-kodierte Executable schreiben und mit einer kleinen BAT rausholen und decrypten,

oder man könnte eine DOC-Datei von mir nehmen, und durch eine LNK-Datei ersetzen (da kann man schön die Endung ausblenden), sie mit Schadcode infiltrieren und in den ADS der Datei schreiben, und in das Ziel des Links einfach

Code: Alles auswählenAufklappen

ATTFilter

rundll32 shell32.dll,OpenAs_RunDLL meineDatei.doc.lnk:Sicherheitsansicht
         

schreiben. Wenn ich da draufklicke, dann wundere ich mich zwar, warum jetzt "Öffnen mit" erscheint, und warum Word die Datei als "Suspicious" bezeichnet -- nachdem aber im Titel von Word alles OK zu sein scheint und auch mein Inhalt zu sehen ist, werde ich mir wohl nicht zu viel dabei denken. Und schon ist der gerade entfernte Virus wieder drin im System.

Und wieder frage ich mich, was ich nun tun soll.

Zitat:

Und wieder frage ich mich, was ich nun tun soll.

Jetzt kann ich dir nicht mehr folgen. Warum? Waren wir nicht schon an dem Punkt dass wir warten ob nochmal was kommt von der Telekom?

Ich hab schon ganz am Anfang meiner Nachforschungen nachgefragt, ob es nur ein Zugriff war oder mehrere, und wenn mehrere, ob sie noch andauern. Antwort war "Das wissen wir nicht! Wir kriegen es höchstens einmal am Tag von der beschwerdegebenden Stelle, also dem Sinkhole, und wer das ist, ist geheim!".

Sprich, nachdem nichts mehr kam, glaube ich nicht, dass es noch Zugriffe gab. Allerdings haben wir hier ja nichts gefunden, was für den Zugriff auf das Sinkhole verantwortlich war -- man muss also davon ausgehen, dass da noch etwas gut versteckt ist, oder auf einem Smartphone.
Und wie man ein Smartphone prüft, würde ich gern wissen.

Smartphone kannste nicht prüfen

Hm. Das heißt, wir sind gescheitert, oder?

Naja, wenn die die Meldung einmal am Tag bekommen, und sich schon ne Woche und mehr nicht mehr bei Dir gemeldet haben, würde ich nicht scheitern sagen.

Naja, aber wenn da was war, das ein Sinkhole kontaktiert hat, irgendwo in meinem Netz, und wir nichts gefunden haben, dann liegt doch der Schluss nahe, dass dieses Etwas nun immernoch da ist, aber halt kein Sinkhole mehr kontaktiert, oder?

Oder die Meldung war von Anfang an fürn Arsch, was bei Telekom auch gerne vor kommt

Meinst du, man kann davon ausgehen?

Ich werde auf jeden Fall von Zeit zu Zeit wieder mit den (geupdateten) Boot-CDs prüfen, für den Fall, dass von einem "Etwas" bei uns inzwischen Signaturen existieren.

Herzlichen Dank für deine Hilfe.

kam schon öfter vor

Herzlichen Dank für deine Mühe. :-)

Gern Geschehen