Nebenbei mach ich auch ein bischen Webhosting. Ich hatte ein ähnliches Problem mit einigen meiner Kunden. Ursache waren ausschließlich unsichere Passwörter bei den E-Mail-Accounts. Die Hacker gehen nämlich mittlerweile direkt an die Mailserver beim Provider ran. Lokale Rechner zu "routen" ist out.

Abhilfe: Absolut sichere Passwörter für die Mailaccounts verwenden.

@mkinzler

Ich bin aktuell nicht bei der Bekannten, kann also nichts sofort prüfen. Das mit dem Gastzugang ist klar, aber erklär das eine IT unbedarften Person. Aber ich stell mir die Frage ob das das Problem ist? Wenn ich das nächste Mal da bin werde ich mir die Protokolle des Routers genauer ansehen.

@mm1256

"Ursache waren ausschließlich unsichere Passwörter bei den E-Mail-Accounts."

Die Frage ist aber ob die versendeten Emails nicht in Versendet-Ordner auftauchen würden?

Außerdem ist bei dem Provider das Einwahl-Passwort gleich Email-Passwort. Und das Einwahl-Passwort wurde verändert. In diesem Fall müssten die Hacker innerhalb eines Monats gleich zwei mal das Passwort gehackt haben.

E-Mails werden oft auch unter falschen Absenderadresse versendet. Dazu werden Offene Mailserver verwendet. D.h. jemand nimmt deine Mailadresse und versendet Sie über irgendeinen offenen Server. Prüft jetzt der Empfangsmailserver nicht ob die Mail überhaupt von dem Server kommen darf kommt sie an.
Alternativ wäre ein übernommener Router. Es gab in der letzten Zeit einige Nachrichten von Routern die Sicherheitslücken so groß wie Scheunentore hatten. Wenn nun der Router übernommen wurde kann hier auch relativ leicht Mail-PW automatisiert ausgespäht werden (Man-In-The-Middle-Attacken)

Ich hab keine Ahnung, wie gut Botnetz Clients sich tarnen können, aber wenn einer drauf ist, spielen alle Deine Beobachtungen erstmal keine Rolle oder?
Die Versendungen erfolgen dann u.U. sogar nur auf Befehl.

Sooderso, wenn das losgeht, muss es auf jeden Fall messbar / logbar sein.
Ggf. kann man auch beim Provider einstellen, dass gesendet Emails gespeichert werden.

Ich bin inzwischen leider auch nicht mehr so Up-To-Date wie früher, aber als ich mich noch damit beschäftigt habe, haben sich gute Schädlinge zwar getarnt (das ist nicht schwer), aber die Netzwerkauslastung haben sie nicht manipuliert. Man konnte sie also nicht selbst sehen, man konnte aber zumindest sehen, dass etwas im Netz passiert.

Du kennst diese Frau nicht, sonst würdest du nicht mit einer so komischen Idee ankommen. Sie soll etwas protokollieren?

Aber die Idee ist trotzdem gut, so eine ähnliche hatte ich auch. Zufällig kann ich klein wenig programmieren. Ich werde einfach ein Programm schreiben das die Zeiten protokolliert.

Die Idee hatte ich schon beim ersten Mal, hab aber nichts gemacht, weil ich nicht genug Zeit hatte. Ich denke mir ich mach beim nächsten Besuch ein Update, das sollte doch, falls tatsächlich die FritzBox übernommen wurde, alles überschreiben, oder?

Doch, der Provider schon. Grund: Einwahl-Passwort und Email-Passwort sind gleich. Somit können sie nicht, laut eigener Aussage, nicht das eine sperren ohne das andere.

Habe ich auch nicht. Aber ich weiß nicht ob man die Netzwerkaktivität manipulieren kann. Wenn da nur eine Email versendet wird, fällt sowas ja nicht auf, aber bei Massen-Spam müsste da richtig was los sein.

Ich meinte damit auch / eher die Aussagekraft eines Virentests.
Bezüglich Protokollierung usw. würde ich an sowas wie Windows Performance Monitor denken, weiß aber nicht, ob der auf/für alle Editionen verfügbar / installiert ist.

Was die Lernbereitschaft der Opfer angeht, habe ich bis auf eine Ausnahme lediglich erst einen einzigen Erfolg erlebt (und das ist schon 20 Jahre her). Ich habe mir mittlerweile angewöhnt im Bekanntenkreis nur noch 1x eine Empfehllung plus Hilfe abzugeben (auf Nachfrage) und danach "keine Lösung mehr zu sehen". Es muss offenbar gehörig Schmerzen bereiten, damit die Leute ihre Gewohnheiten überdenken (um nicht zu sagen, ihre Bequemlichkeit aufgeben).

Stimmt, die kenn ich nicht, aber ich kenne genug andere und verstehe genau, was du meinst

Damit wäre schonmal ein Anfang gemacht

Oh ja, davon kann ich Lieder singen: Stichworte Backup, Passwort, Pornoseiten, jeden Scheiß installieren usw.

Ist das ein Providerrouter oder "wartet" sie den selber? Vielleicht ist der infiziert.

Das würde ja bedeuten, daß auch dann Spam-Mails erstellt und versendet wurden, wenn die Bekannte von Popov ihr Laptop gar nicht in Betrieb, also quasi ein Alibi hat.

@Popov: Vielleicht wäre es möglich, daß deine Bekannte eine Zeit lang protokolliert, von wann bis wann sie ihr Laptop benutzt bzw. mit dem Internet verbindet, um diese Zeiten dann mit den Versendezeiten der Spammails abgleichen zu können. Passwort ändern ist natürlich erste Bürgerpflicht

Ich wünschte, mehr Provider würden so handeln. Als Admin sind Botnetze eine echte Plage. Ich rege mich jedes mal auf, wenn wieder ein Bekannter stolz erzählt, dass er nie Sicherheitsupdates installiert und alle automatischen Updatefunktionen deaktiviert hat, weil ihn das nervt.

E-Mail-Spam ist übrigens bei weitem nicht das einzige, was Botnetze tun. Sie werden vor allem auch benutzt für DDoS-Attacken gegen Server, registrieren automatisch Spam-Accounts in Foren, spammen Gästebücher zu, oder hosten sogar mittels DynDNS temporäre Webseiten, über die Viren verbreitet werden etc.

Mit „Spam“ muss also nicht unbedingt E-Mail gemeint sein. Es könnte auch einfach allgemeiner Paket-Spam sein.

Auf Ergebnisse von Virenscans kann man sich nie 100%ig verlassen. Wenn der Provider den Anschluss ein zweites mal geblockt hat, wird es wohl seinen Grund haben. Ich glaube auch nicht, dass ein Provider gleich den ganzen Internetanschluss sperrt, wenn nur das E-Mail-Konto kompromittiert wurde. Die können an ihren Logs sehr genau sehen, von welcher IP-Adresse aus eine Mail versandt wurde.