Mass Send Mail

smakr2 · 18.05.2006, 08:32

Saut geraumer Zeit blockiert meine Firewall immer schubweise ausgehende smtp Verbindungen aur verschiedene Server.
Hier in kleiner Auszug aus der Logfile:

Zitat:

"Exception List Rule","22:13:16","TCP","KRAFTEDMOBILE","4531","194 .67.23.20","25","C:\WINDOWS\SYSTEM32\SERVICES.EXE" ,"Anwendung für Dienste und Controller","Send Mail for mass mail (SMTP)"
"Exception List Rule","22:13:46","TCP","KRAFTEDMOBILE","4532","213 .180.204.38","25","C:\WINDOWS\SYSTEM32\SERVICES.EX E","Anwendung für Dienste und Controller","Send Mail for mass mail (SMTP)"
"Exception List Rule","22:14:17","TCP","KRAFTEDMOBILE","4533","131 .107.1.7","25","C:\WINDOWS\SYSTEM32\SERVICES.EXE", "Anwendung für Dienste und Controller","Send Mail for mass mail (SMTP)"

Virenscanner ( Trend Micro, AdAware und Spybot Search&Destroy ) haben nichts gefunden und ich verzweifel langsam.

Anbei noch ein HijackThis log. Bin für jede Hilfe dankbar.

Markus1234 · 18.05.2006, 08:56

Zitat:

C:\PROGRA~1\INSTSRV\SRVANY.EXE

Kommt mir spanisch vor dass diese Datei die ja eigentlich zum einbinden neuer Dienste da ist im Programme-Verzeichnis läuft.
Lass sie mal bei Virustotal scannen

und wenn du schon dabei bist scannst du diese Datei auch noch

Zitat:

C:\Programme\Remote\remoterm.exe

mfg,
Markus

smakr2 · 18.05.2006, 09:09

Hi Markus,
die beiden Dateien sind vertrauenswürdig, hab sie selber so Installiert.
SRVANY.EXE sorgt dafür, dass RMClock als Prozess läuft und remoteterm.exe ist ne kleine Anwendung die ich brauchen um die Fernbedienung meiner Fernsehkarte zu benutzen.

Files trotzdem mal gescannt:

SRVANY: kein treffer nur
Fortinet 2.77.0.0 05.17.2006 SrvAny
meckert rum.
remoteterm:
no virus found

Markus1234 · 18.05.2006, 09:14

Nun denn ist mein Latein fast am Ende.

Scanne dein System noch mit Blacklight und Rootkitrevealer.

Sonst soll mal ein Netzwerkspezi von hier drüber fliegn - erübrigt sich meistens im Laufe des Tages von selbst.

mfg,
Markus

smakr2 · 18.05.2006, 09:31

Zitat:

HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 19.01.2006 15:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\TrendMicro\PC-cillin\ScanInfo\LastScanFile 18.05.2006 10:23 54 bytes Windows API length not consistent with raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 15.01.2006 11:37 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet001\Services\sysbus32 16.05.2006 14:48 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet003\Services\sysbus32 16.05.2006 14:35 0 bytes Hidden from Windows API.

Autsch das sieht Böse aus

Wildone · 18.05.2006, 09:46

Hallo,
werde noch nicht vollkommen schlau aus dem Rootkitrevealer Log, ist auch nicht gerade meine Stärke.
Schau mal ob folgende Datei existiert:
C:\WINDOWS\System32\Drivers\sysbus32.sys

Außerdem löschst du mal deine Temp Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren!

Grüße Wildone

Mass Send Mail

Log-Analyse und Auswertung: Mass Send Mail

Mass Send Mail

Mass Send Mail

Mass Send Mail

Mass Send Mail

Mass Send Mail

Mass Send Mail

Ähnliche Themen: Mass Send Mail

18.05.2006, 09:14	#4
Markus1234	Mass Send Mail Nun denn ist mein Latein fast am Ende. Scanne dein System noch mit Blacklight und Rootkitrevealer. Sonst soll mal ein Netzwerkspezi von hier drüber fliegn - erübrigt sich meistens im Laufe des Tages von selbst. mfg, Markus

18.05.2006, 09:46	#6
Wildone	Mass Send Mail Hallo, werde noch nicht vollkommen schlau aus dem Rootkitrevealer Log, ist auch nicht gerade meine Stärke. Schau mal ob folgende Datei existiert: C:\WINDOWS\System32\Drivers\sysbus32.sys Außerdem löschst du mal deine Temp Dateien mit Cleanup! und postest die vier Logfiles der Datfind.bat, aber nur die Dateien der letzten drei Monate abkopieren! Grüße Wildone