aktueller Betrugsversuch



Dies ist sehr lästiger Virus. Ich habe noch nicht alles untersuchen können. Nachdem ich vermute, dass ich nicht der Einzige bin, der hier belästigt wird, stelle ich diese böse Mail öffentlich.
Was ich bereits gefunden habe, werden die PDF-Dateien infiziert. Ich schreibe meine Bücher mit Indesign und erstelle daraus die PDF-Dateien für den Druck. Hier sind zumindest einige eingebundene Dateien infiziert.
Das wirkt sich so aus, dass beim Aufruf dieser PDF-Dateien manche Seiten nicht sichtbar sind. Das Antivirusprogramm erkennt auch diese infizierten Dateien. In meinem Fall waren es 15, entsprechend den 15 Büchern, die ich vor kurzem veröffentlicht habe.

Wenn ich mehr weiß, werde ich dies auf dieser Seite darstellen.

Übrigens ist der Ländercode sa bei dem Absender Saudiarabien,
natürlich weiß ich, wie leicht man E-Mail-Adressen fälschen kann, das ist nicht neu.
Der Mailserver, der diese böse abgeschickt hat, liegt in  USA und zwar gibt es hier drei Supportorte in Kalifornien, Colorado und Virginia. Mir ist klar, dass diese Supportfirma nicht der Täter ist. Jeder in der Welt, kann sich hier eine Domain bestellen. Ich weiß auch nicht, ob die Firma inmotionhosting bereit ist, diesem User den Vertrag zu kündigen. Ein Versuch ist es allemal wert. Ob dies auch das Problem löst, bin ich sehr skeptisch.

Ich habe in der Vergangenheit schon mehrere solche Betrugsversuche erlebt, ich habe natürlich nicht bezahlt. Leider waren die Anzeigen bei der Polizei/Staatsanwaltschaft bisher nicht erfolgreich, sie wurden nach einiger Zeit eingestellt, weil der Täter nicht ermittelt werden konnte. Deshalb werde ich mir auch in diesem Fall eine Anzeige sparen. 

Es sieht auch so aus, dass der Täter kein Araber ist, er ist wohl ein muttersprachlich deutsch Sprechender, leider weiß ich nicht noch nicht mehr.



Ergänzung: 01-Sep-2020:

Ich habe nun meinen PC mit reimage gereinigt.
Dabei wurde festgestellt, dass die Browser Microsoft Explorer und Mozilla firefox infiziert waren.
Der Mozilla firefox wurde neu installiert.
Die unter Passwort stehenden Bücher können ohne Probleme runtergeladen werden, auch das Buch BuchMySQL2Auflage.pdf
Jedoch wird diese Datei in ein anderes Verzeichnis (BuchMySQL) ins Internet kopiert, ist der Fehler (einige eingebundene Dateien werden nicht angezeigt) immer noch da. Ich vermute also, das Schadprogramm ist noch auf meinem PC. Ich habe also temporär das Verzeichnis BuchMySQL entfernt.
Die oben beschriebenen Probleme mit der Anzeige bestimmter PDF-Dateien ist ebenso auf anderen PC so sichtbar.
Nachdem ich aber das Verzeichnis BuchMySQLvom Netz genommen habe, scheint nun alles wieder ok zu sein.
Das Buch BuchMySQL2Auflage.pdf kann momentan nur über das Passwort geschützte Verzeichnis pwBuchKriegshaber runter geladen werden.

Nachdem aber der Schädling noch auf meinem PC zu sein scheint, muss ich mir von anderer Stelle Rat holen, wie der Schädling entfernt werden kann.
Die brachiale Methode, die ich schon früher einmal durchführte (bei einam anderen Schädling), nämlich das Laufwerk C zu formatieren und Windows und alle Applikationsprogramme neu zu installieren,werde ich vorerst nicht durchführen, es scheint nicht alle Probleme zu lösen. Die beschädigte Datei 
BuchMySQL2Auflage.pdf steht auf einem anderen Laufwerk.

Wer von den Spezialisten im Netz einen Rat weiß, soll ihn mir sagen.



Ergänzung: 02--Sep-2020:

Ich habe eine Anfrage an die Firma Immotion Hosting in USA geschickt mit der Bitte, mir die Daten des Straftäters zu senden, der mir die ominöse Mail geschickt hat.



Ergänzung: 07-Sep-2020:

Hello Heinz Wember info-hw,

We'd love to hear what you think of our customer service. Please take a moment to answer one simple question by clicking either link below:

How would you rate the support you received?

Good, I'm satisfied

Bad, I'm unsatisfied

Here's a reminder of what this request was about:

Michael P. (InMotion Hosting)

Sep 4, 2020, 7:38 PM EDT

Hi Heinz ,

Thanks for contacting us in Support!

For user privacy and protection we are only able to discuss webserver and account information with verified account holders.

We can verify if you can verify any of the following details:
-The full AMP Password
-The last 4 digits of the credit card on file of the account
-The customer passphrase

In the future to ensure that you are already verified you can submit any support requests by following the guide below.

https://www.inmotionhosting.com/support/website/website-troubleshooting/how-to-get-great-technical-support

 

Best Regards,
Michael

InMotion Hosting
888-321-HOST (4678) Available 24/7
https://www.inmotionhosting.com

Avoid the wait! Search the customer exclusive knowledgebase in AMP:
https://secure1.inmotionhosting.com/amp/support

Heinz Wember info-hw

Sep 1, 2020, 10:57 PM EDT

To Company Emmotion Hosting in USA
 
I want to address a request to support my wish to send me the data of one of your customers. I have included a mail sent to one of my mail accounts. This mail was sent via one of your mail servers.
Here the data of the headline of this related mail:
<m.navid@lava.sa>
from vps41075.inmotionhosting.com ([216.194.175.192]) by mx.kundenserver.de (mxeue011 [212.227.15.41]) with ESMTPS (Nemesis) id 1MEVeU-1kMgWW1iu2-00Fzxe for <gen@heinz-wember.de>; Sun, 30 Aug 2020 05:27:30 +0200
 
I have addressed a legal notice to the Staatsanwaltschaft of Augsburg, the authority which is responsible to follow up my request. You can sent the answer either to me or to the Staatsanwaltsschaft Augsburg which has the mail account poststelle@sta-a.bayern.de.
 
I am sure you do not agree with the doing of one of your customers.
 
attachment: The related e-mail
 
Best regards
Heinz Wember
Neusaesser Str. 17f
D-86156 Augsburg
Phone: 0049 821 407109
 

Virenfrei. www.avg.com

Attachment(s)
MailHacker20200830.jpg

This email is a service from InMotion Hosting. Delivered by Ze


MailHacker20200830.jpg



Ergänzung: 07-Sep-2020:

Ich habe die Staatsanwaltschaft gebeten, selbst an die Firma
InMotion Hosting zu schreiben, in der Hoffnung, dass hier eine bessere Antwort kommt.


Ergänzung 18-Sep-2020:

Jetzt hat mein Antivirenprogramm reagiert und die beschädigten Dateien angezeigt, Es waren ca. 30 nach dem 30-Aug-2020 erstellte PDF-Dateien.
Ich weiß zwar immer noch nicht, ob nun das Schadprogramm von meinen neu gekauften Sicherheitsprogrammen gelöscht wurde, aber zumindest werden nun keine PDF-Dateien mehr beschädigt.
Es sind viele oder alle nach dem 30-Aug-2020 erstellen PDF-Dateien beschädigt, das sich so auswirkt, dass man die betreffende Datei nicht lesen kann.


Ergänzung 22-Sep-2020:

Wie ich erst kürzlich bemerkt habe, werden auch DOC-Files angegriffen, aber nicht alle. Nachdem ich MS Word nie und Open Office Textverarbeitung kaum benutze, ist das erst jetzt aufgefallen. Aber wohl alle PDF-Dateien, die nach Aug-2020 erstellt wurden. Dies kann man sehr gut mit dem Sicherheitskopieprogramm Allways Sync nachweisen. Hier werden alle angegriffenen Dateien erkannt und nicht kopiert.
Ich werde wohl oder übel meinen PC neu formatieren und Windows 10 neu installieren müssen. Das mache ich momentan absichtlich nicht, weil ich wissen will, was bei meiner Anzeige raus kommt. Wenn die Polizei/Staatsanwaltschaft den Täter ermitteln kann, habe ich immer noch den Beweis auf meinem PC. Jetzt habe ich übrigens erfahren, dass eine spezielle Gruppe der Polizei, die Stelle für Internet Kriminalität, bei solchen Fällen ermittelt. Sollte die Vorgehensweise, wie man einen unbekannten Täter, mittels IP-Adresse oder wie in meinem Fall über den Mail-Server und das genaue Datum mit Uhrzeit, an dem eine Mail weggeschickt wurde, so ähnlich sein, wie in Deutschland (soviel ich weiß, ist jeder Internet-Anbieter gehalten, die Logs, die man dazu braucht, sechs Monate zu halten), dann kann und muss der Anbieter auf Beschluss eines Gerichtesbescheids die Daten des "Täters" herausgeben. Nachdem mein Täter einwandfrei und ohne jeglichen Fehler deutsch geschrieben hat, besteht die Möglichkeit, dass er in Deutschland ansässig ist. Hier dürfte das Urteil eines Gerichtes Wirkung zeigen, was bei Tätern in Ländern in Übersee eher unwahrscheinlich ist.


zur Homepage  


Änderungstand: 22-Sep-2020 15:35
Heinz Wember