Es ist ein ganz simples Paket mit einer Hand voll Webspace und E-Mail Accounts. Wir administrieren dort überhaupt nichts, vom CMS unserer Webseite mal abgesehen. Daher habe ich auch eher mich als Strato im Visier.

Die betreffende Mail ist locker 2 Jahre alt. Da bis vor kurzem nichts war, tendiere ich dennoch eher zu meiner Schlussfolgerung. (Und anderen Indizien.)

Das hatte ich mal ursprünglich so eingerichtet, damit ich einfacher mehrere Geräte mit Clients für die Adresse einrichten kann, ohne dass ich nachher auf mehreren Devices unterschiedliche Mails habe. Das ist nur nie zum Tragen gekommen.

Der Postausgang im Webclient ist leer.

Nur diese eine besagte, in der die Adresse im weitergeleiteten Kopf stand, und die sehr sicher schon ewig nicht mehr auf dem Server liegt. Nur das Gegenteil kann ich sicher sagen: Es wurde Spam an Adressen geschickt, die nur mir geschrieben haben, ich ihnen aber nie.

Der einzige, der sich auf meine PCs mit TeamViewer verbunden hat (Logs geprüft!), bin ich selbst, mit dem jeweils anderen PC. (Also Privat<->Büro, in beide Richtungen.) Das erklärt auch nicht, wie die Daten auf meinem privaten PC ermittelt würden, da hier eben kein Outlook überhaupt installiert ist. (Sondern Thunderbird.)

Gibt es eventuell die Möglichkeit, dass eine Webseite "on the fly" welchen Mail-Client auch immer man als Standard angegeben hat durchsuchen kann? Weil ich finde auf Biegen und Brechen keinen Fitzel Malware auf den PCs, auch mit MBAM und Konsorten nicht. Ich nutze auf beiden Kisten den aktuellsten Chrome, und als einzige Extensions sind AdBlock+ und Ghostery registriert. Zudem ist der Browserschutz der Virenscanner aktiviert - im Büro AVG, privat Panda AV. Und wenn Webseiten nach Zugriffen fragen, wird generell "NEIN!!!" geklickt. Auch wenn es nur Google ist, die wieder mal meinen Standort abfragen wollen. Fragwürdige Seiten rufe ich allerdings höchstens privat auf, und zwar einschlägige Streaming-Portale, da es die dämlichen Broadcaster sogar in Zeiten von Netflix und Amazon Prime (welche ich beide aboniere) nicht schaffen (bzw. wollen) Serien weltweit und in Englisch zu veröffentlichen... Das würde nur den Befall im Büro nicht erklären, der ja sogar als erstes passiert ist.
Könnten Webseiten so etwas unbemerkt, und ohne Downloads oder Bestätigungsfensterchen?

Ich hatte mein Telefon zwar schon an beiden PCs, jedoch habe ich gerade die Kontakte geprüft: Keine von den PCs zu finden, und da ich E-Mail nicht übers Phone nutze, speichere ich dort auch keine E-Mail Adressen zu den Kontakten. Ansonsten klang das nicht schlecht, scheidet aber wohl leider aus. Outlook ist leider Vorgabe hier. Aber das allein kann ja auch nicht der Übeltäter sein, da es wie gesagt mit Thunderbird genau das gleiche Problem gab.

Bei uns eigentlich auch. Aber mein Chef traut sich nicht mich rauszuschmeißen nur weil ich mich diesem Unsinn verweigere

Bei uns auffe Fihmaa wird auch Outlook genutzt, und als es mal wieder im Gebälk knirschte, hat mir ein Kollege eine Internetadresse gezeigt (MS-Irgendwas/Outlook/Firmenname) über die ich an meine Mails (gesendet und erhalten) komme (Office 365). Weiß der Teufel auf welchen Servern wo überall meine Mails verstreut sind. Da können die Virenscanner auf meinem lokalen PC noch so aktuell sein, was auf irgendwelchen Servern im Netz Sache ist, keine Ahnung.

Gruß
K-H

P.S.
vor Jahren hatten wir öfters mal Mails von einem Kloster in Siegburg bekommen.
Bei tel. Rückfrage wurde uns glaubhaft versichert, daß sie keine Mails an uns versandt haben.
Seit dem ignoriere ich alle Mails, die ich nicht richtig zuordnen kann, und ich gebe mir da keine Große Mühe. Ein Betreff "must see" ist da schneller im Orkus verschwunden als er aufgerufen wurde.

Einen wirklichen Schaden erwarte ich auch nicht. Ich habe meistens mit technisch versiertem Personal zu tun, die wissen was mit solchen Mails zu tun ist. Mir (und meinem Chef) geht's da viel mehr um die Aussenwirkung. "Warum bekommt ein IT-Unternehmen sowas nicht in dem Griff?" - mag sich mancher Kunde dann fragen. Das sollte nicht sein.

Ich habe jetzt nochmals beide PCs mit je 3 Virensscannern und zusätzlich der gesamten Produktpalette von MalwareBytes durchwühlen lassen (inkl. des Rootkit Tools). Keiner hat auch nur einen Fund berichtet. Nichts. Gar nichts. Im Grunde bleibt mir fast nur noch abzuwarten ob da noch mal was kommt, und dann zu gucken ob neue Adressen auftauchen. Irgendwie unbefriedigend.

Danke euch trotzdem ganz heftig!

Hallo,

jetzt muss ich auch mal was schreiben. Ich bin kein Fachmann was IT-Sicherheit angeht. Falls das noch nicht erwähnt wurde.

Manche Gauner sind heute so clever und beseitigen ihre Spuren nach erfolgreichem Einbruch. Das tun sie, damit der Beklaute nicht noch auf das offene Scheunentor aufmerksam wird.

Ich habe letztens einen interessanten Bericht gesehen wo es um G-Data ging. Da wurden unter anderem Zahlen genannt. Wenn ich mich recht erinnere sollen weltweit pro Stunde 150.000 neue, bisher noch unbekannte Schädlingsvarianten auftauchen. Meistens handelt es sich nur um leichte Abwandlungen bereits vorhandener Malware, z.B. aus Baukastensystemen. Insofern wäre es nicht verwunderlich dass ein Virenscanner nicht auf einen "brandneuen" Schädling anspricht, weil die Signaturdatenbank schon vor über 5 Stunden aktualisiert wurde. Und heuristische Erkennungsmethoden sind naturgemäß immer etwas unscharf.

An sich stimmt das natürlich. Aber wenn 4 verschiedene Heuristiken zufrieden sind, ist das schon kein allzu schwaches Indiz mehr. Vor allem würde ein brand neues und oberpfiffiges Virusverhalten der absoluten Plumpheit der Spam-Mails selbst entgegen stehen. (Es wird ja nichtmals die Landessprache der Empfänger-TLDs benutzt.) Das schließt natürlich nichts aus, aber würde mich zumindest wundern. Ich schau jetzt einfach ob da noch was passiert.

Bezüglich der angesprochenen "Selbstabräumung": Das würde ich auch schon eher als "erweitertes" Verhalten ansehen. Den meisten ist doch egal was mit dem PC passiert sobald der Code den man wollte gelaufen ist, und die Chance der Weiterverbreitung ist sicherlich auch besser wenn man seinen Virus verweilen lässt. Zumal auch bei sowas dann der Live-Schutz der zu dem Zeitpunkt 3 aktiven Scanner anspringen dürfte. (Ja, 3 sind overkill. Das habe ich gemacht, als ich nach dem ersten Vorfall paranoid wurde. Das wird wieder auf 1 eingedampft )