Als ich heute am Notebook eines Freundes prüfen sollte, warum der Rechner so langsam ist, fand ich über den Taskmanager heraus, dass die explorer.exe 40-60% der CPU belastet.  Daraufhin habe ich TCP View runtergeladen und mir die Prozesse genauer angesehen und wer mag es nicht glauben, hat sich der explorer.exe zu einer Webseite verbundne die ich nicht kannte.

Nach einigen Recherchen machte ich den Hostinganbieter und Registrant über die Whois Abfrage ausfindig und hab dem Hoster eine Abuse Mail geschrieben und angefragt, woran diese Verbindung liegen könnte. Natürlich kam eine Standardantwort, ich habe bestimmt eine Webseite von denen aufgerufen. Doch dies war mit zu wenig, um etwas mehr heraus zu bekommen rief ich also dort an und schilderte mein Problem. Promt wurde mir gesagt, ich solle eine Abusemail an sie senden mit weiteren Informationen. Gedanklich war ich zwar noch bei meiner letzten schon verschickten Abusemail, doch dachte ich mir doppelt hält besser und verschickte die gleiche noch einmal an den Hoster. Nun bekam ich schon einmal eine Antwort, mit der ich etwas mehr anfangen konnte.

Wir haben Ihre Anfrage an den Domaininhaber weitergeleitet[...]

Na danke auch, das wäre doch nicht nötig gewesen, dass sie den potentiell Kriminellen nun benachrichtigen, damit er zeitig alle infizierten Rechner lahmlegen kann und Logfiles entsprechend sicher abspeichern kann.

Mit einer erneuten Mail fragte ich an, ob es möglich wäre zu überprüfen ob sich der Verdacht eines Botnetzes bestätigen würde.  Für Botnetze ist üblich, dass die Clienten sich in Prozesse einschleusen und sich entsprechend tarnen. Auch im Sinne des Kunden sprach ich an, dass er vielleicht sogar selbst gar nichts dafür kann und selbst Opfer einer Infizierung geworden ist. Aber nein, man antwortete mir folgendes.

Über das für und wieder um den Umgang mit unseren Kunden und die intern
durchgeführten Maßnahmen entscheidet die Firma ****** ******. Wir haben Ihre
Anfrage an den Kunden weitergeleitet und sind nicht berechtigt in den Daten
des Kunden manipulationen vorzunehmen, nur weil uns jemand einen Screenshot
schickt.

Sollten Sie Interesse an einer qualifizierten Betrachtung haben, so stehen wir
Ihnen weiterhin gerne zur Verfügung.

Man beachte die letzte Aussage, diese wird im später noch herzhaft amüsant. Ich wollte mich jedoch damit noch nicht geschlagen geben und versuchte es nun mit einer anderen Methode. Ich sagte, dass ich mich über die rechtliche Lage informieren würde und bei einer eventuellen Anzeige, vorweisen würde, den Hoster entsprechend fürhzeitig unterrichtet zu haben. Zuletzt wollte ich auch nicht verhindern, das meine nett verschleierte Mitteilung falsch verstanden wird und sagte noch, dass eventuell noch kommende Schäden durch die Malware, dem Hoster zur Last fallen könnten. Doch anstatt zu reagieren schrieb dieser mir fleißig eine weitere witzige Mail.

Wenn Sie, anstatt sich zu echauffieren, sich mit der Thematik auseinander
gesetzt hätten und sich die Seite *****.de angeschaut hätten. Dann
hätten Sie mitbekommen, das es gar keine Seite mehr hierzu gibt. in sofern ist
auch keine Handlung unsererseits notwendig.

Natürlich, boten sie mir doch in der vorigen Mail eine qualifizierte Betrachtung des Problems an, meinen Sie nun also, wenn die entsprechende Seite nicht mehr existiert sei keine weitere Handlung notwendig? Das sehe ich, von Ihnen auch genannt als “jemand” anders. In einer erneuten Mail, wies ich auf die Bildungslücke hin, dass heutzutage Programme durchaus in der Lage sind, Datenbank- oder FTP Verbindungen aufzubauen. Doch in der Mail kam natürlich noch eine qualifizierte äußerst hochwertige Betrachtung des Problems. Man empfahl mir folgendes:

Wir empfehlen Ihnen jedoch IHREN Rechner einmal nach Viren zu durchsuchen.

Danke, für diese hoch qualifizierte Empfehlung. Zuletzt wies ich abschließend in der selben Antwortmail noch darauf hin, dass es wohl kaum etwas bringen würde bei aktuellem aktiven Virenschutz erneut den Rechner abzusuchen. Was bringt mir eine stromfressende Durchsuchung nach einer Malware die wohlmöglich vor kurzer Zeit erst erschienen ist. Hierrauf kam leider keine Antwortmail seitens des Hosters, ich hätte auch nicht mehr gewusst wie man das Image des Hosters noch tiefer hätte senken  können, als das eine erneute Antwort nötig gewesen wäre. Oder doch?! Vielleicht ist ja der Hoster selbst der Kriminelle, welcher seine Server ausnutzt, um mit Botnetzen zu spielen?

Ich wollte abschließend noch einmal klarstellen, dass dies nicht der einzige Hoster ist, wo ich derartige Erfahrungen machen erleben durfte.