|
Plagegeister aller Art und deren Bekämpfung: Hilfe: Werde als Spammailserver mißbrauchtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.07.2006, 12:29 | #1 |
| Hilfe: Werde als Spammailserver mißbraucht Hallo, Vor ein paar Tagen viel mir schon auf das mein T-Online SpeedManager mir anzeigte das unbekannte uploads und downloads laufen (Der Speedmanager is ein kleines Tool was die Geschwindigkeit des Upload und Download anzeigt). Ich dachte an einen Virus, oder spyware, hab darum einige Programme durchlaufen lassen: Nichts!! Da der SpeedManager mir aber nen upload und download anzeigte muß ja was da sein, also habe ich mir tcpview runtergeladen das alle TCP, UDP Verbindungen anzeigt: Nichts!! Nun bin ich über ein Programm gestolpert: Network Activ PIAFCTM download: http://www.zdnet.de/downloads/prg/u/x/de0DUX-wc.html Laut Beschreibung des Programms: "Dieser kostenlose Paket- und Datei-Sniffer gibt Einblick in die gesamte Kommunikation, ob sie nun vom eigenen PC ausgeht oder ihn erreicht. Spyware oder Programme, die "nach Hause telefonieren", sind damit schnell identifiziert." Und was stelle ich nach dem starten des Programms fest ? Irgentwelche Idioten schicken über deren Ports Datenpakete auf meinen Rechner. Die Datenpakate kann man teilweise lesen, teilweise leider nur wirre Zeichen - und man findet zig email und Spam darin, sieht also so aus das da wer Datenpakate zu mir schickt und ich die wohl als "Spamserver" weiterschicke (?) Hier mal ein paar "Beispiele" aus Datenpaketen die ohne mein wissen über meinen PC gehen - bevor der Quatsch losgeht wird von meinem Rechner (vermutlich) ein datenpaket mit einigen wenigen nichtlesbaren Bit zu einem PC geschickt, ich vermute diese IP: 208.66.xxx.xx (nachdem unsere PC einige Zeit kleine Datenpakate ausgetauscht haben, kommt ein "lesbares" Datenpaket): POST /banner/index.php HTTP/1.0 Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */* Accept-Language: en User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) Host: 208.66.xxx.xx Content-Type: application/x-www-form-urlencoded Content-Length: 103 Connection: Close Pragma: no-cache Dann folgen wieder zig Datenpakete (wirre Zeichen), und darunter findet sich dann zb. sowas hier (was "lesbar" ist): (Anmerkung die xxxx da hab ich ne IP oder ne email adresse unkenntlich mit gemacht) (Anmerkung2: einige Wörter wie "body", "Div" mußte ich in " setzen um sie hier wegen der Wortsperre posten zu können, ebenso habe ich < und > in ein + ersetzen müssen) Message-ID: From: "boners." To: bompane@muxxxxxey.com Subject: latest album Executive Date: Tue, 25 Jul 2006 22:17:25 -0200 MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_xxxxxxxxxxxxxxxxxx" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.2873 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2873 ------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxx Content-Type: multipart/alternative; boundary="----=_NextPart_001_000E_01C6B038.1B6F1640" ------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxxx Content-Type: text/plain; charset="windows-1250" Content-Transfer-Encoding: quoted-printable scanswere workers left. crackwith boners. whoops Lebanon Bush: plan better Baghdad security FREE speedy pageTry Age Gaps Germany Spain Italy France saysany Stewart returns rock latest getting water up repair limits starting ending radiating from array installed default but optional expected Dirt pileBldg. SHOPPING FORUMS MEDIA REQUESTS partof romance Ideas: Quote: Article: corporate R. Lipman specify equipment used. color intensity those little lasers. ---------------------------------------------- s below WHOS FATTY ZIA cloudto already global i.e. user defined limits starting ending thisarea after materials delivered thevolume byfinding bounded Witzgall C.Bernal J. Program Report site. ------=_NextPart Content-Type: text/html; charset="windows-1250" Content-Transfer-Encoding: quoted-printable +"meta" http-equiv=3DContent-Type content=3D"text/html; = charset=3Dwindows-1250"+ +"meta" content=3D"MSHTML 6.00.2900.2873" name=3DGENERATOR+ +"body" bgColor=3D#ffffff+ +"div" align=3Dcenter+ hspace=3D0 src=3D"cid:xxxxxxxxxxxxxxxxxxxxxxxxxxx" = align=3Dbaseline=20 border=3D0+ +"div" align=3Dleft+heezy +"div" align=3Dleft+Then respond them. write +"div" align=3Dleft+RockStar HatsFo dam crackas party +"div" align=3Dleft+minimum DC amaximum A. +"div" align=3Dleft+Windows XP +"div" align=3Dleft+will work as well ---------------------------------------------- Message-ID: From: "path." To: bompane@muxxxxxnd.com Subject: boy Date: Tue, 25 Jul 2006 22:17:19 -0200 MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxxx" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.2873 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2873 ------=_NextPart_xxxxxxxxxxxxxxxxxxxxxx Content-Type: multipart/alternative; boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxx" ------=_NextPart_xxxxxxxxxxxxxxxxxxxxxx Content-Type: text/plain; charset="windows-1250" Content-Transfer-Encoding: quoted-printable heezy Then respond them. write RockStar HatsFo dam crackas party minimum DC amaximum A. Windows XP will work as well. materials delivered payment tasks thevolume protocol andprior knowledge aids them.A copy Extras studies See demoYahoo Kids FAQWho fixing published journal. Witzgall Newsin WebAd Answer happen seem GIT STAnKIN ASS quotWHOS gets MySpaceOK HOMEYS CMR rawked jar Yahoo release featuring Everyday Recipes Night length extent pattern donot identify TclTkAqua link ----------------------------------------------- 221 mail1.muxxxxxen.com closing connection. ----------------------------------------------- Backup Mail Service ESMTP (mail2.clxxxxxra.net) ----------------------------------------------- mail.euxxxxxoe.com Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at Tue, 25 Jul 2006 22:24:13 +0200 ----------------------------------------------- intensity +"div" align=3Dleft+those little lasers. five sections +"div" align=3Dleft+same writing keeping track +"div" align=3Dleft+when movie +"div" align=3Dleft+areasof day. occluded +"div" align=3Dleft+FTP transfer +"div" align=3Dleft+IM go. Tell more.In +"div" align=3Dleft+others.As fixed +"div" align=3Dleft+installer package Panther +"div" align=3Dleft+Examples Making +"div" align=3Dleft+MSDOS. Download ------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-- ------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Content-Type: image/gif; name="most.gif" Content-Transfer-Encoding: base64 Content-ID: ----------------------------------------------- HTTP/1.1 200 OK Date: Tue, 25 Jul 2006 20:02:43 GMT Server: Apache/2.0.52 (Win32) X-Powered-By: PHP/4.3.4 Content-Length: 10023 Connection: close Content-Type: text/html ----------------------------------------------- Message-ID: From: "lil honkeys" To: a.speck@blxxxxxin.ch Subject: battery anauto meet isheavy Date: Tue, 25 Jul 2006 22:03:44 -0200 MIME-Version: 1.0 Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxxxx" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.2873 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2873 ------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxx Content-Type: multipart/alternative; boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxxxx" ------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxx Content-Type: text/plain; charset="windows-1250" Content-Transfer-Encoding: quoted-printable prior LPM point slayings England palace standard plan better Baghdad aweb allows Items Kids FAQWho letting hump amazing deep series rooms convince Oniguruma Rubys shiny will work tohave beyond areasof day. occluded larger whenthe scans obtained. stored dam crackas party Institute Standards enable parts thescene bothcases protocols assess draws supply power tothe thefield readily minimum GOLD BIATCH TOUR DATES make /usr/bin comes before change wankst --------------------------------------------- as Group Tracks Contests Shizznit Links dfc gets classic arcade been computer. files copy Extras folder future efforts volumes Dam bukakke face. playing thangs Phone Cell view.When manually greater Bootdisk Windows XP C: ------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxx Content-Type: text/html; charset="windows-1250" Content-Transfer-Encoding: quoted-printable +"meta" http-equiv=3DContent-Type content=3D"text/html; = charset=3Dwindows-1250"+ +"meta" content=3D"MSHTML 6.00.2900.2873" name=3DGENERATOR+ +"body" bgColor=3D#ffffff+ +"div" align=3Dcenter+ hspace=3D0 src=3D"cid:0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" = align=3Dbaseline=20 border=3D0+ +"div" align=3Dleft+prior LPM point +"div" align=3Dleft+slayings England palace +"div" align=3Dleft+standard +"div" align=3Dleft+plan better Baghdad +"div" align=3Dleft+aweb allows +"div" align=3Dleft+Item ---------------------------------------------- s Kids FAQWho +"div" align=3Dleft+letting hump +"div" align=3Dleft+amazing +"div" align=3Dleft+deep series rooms convince +"div" align=3Dleft+Oniguruma Rubys shiny +"div" align=3Dleft+will work +"div" align=3Dleft+tohave beyond areasof day. occluded larger +"div" align=3Dleft+whenthe scans obtained. stored +"div" align=3Dleft+dam crackas party +"div" align=3Dleft+Institute Standards +"div" align=3Dleft+enable parts +"div" align=3Dleft+thescene bothcases protocols assess +"div" align=3Dleft+draws +"div" align=3Dleft+supply power tothe thefield readily minimum +"div" align=3Dleft+GOLD BIATCH TOUR DATES +"div" align=3Dleft+make /usr/bin comes before ---------------------------------------------- Zusammen sind es über etwa 30 Minuten beobachtet etwas 10-12 verschiedene IP die mit meinem PC Daten austauschen, teilweise dabei hab ich vollen upload Transfer Da mein PC (ich habe weder Outlook, noch Apache) mit meinem WindowsXP SP2 zum Spamserver mutiert ist mal hier die IPs die immer wieder auftauchen: 80.98.122.215 RIPE Network Coordination Centre, Amsterdamm 217.237.150.225 RIPE Network Coordination Centre, Amsterdamm 80.146.112.207 RIPE Network Coordination Centre, Amsterdamm 63.70.164.32 Sandhills Publishing Company 208.66.194.14 McColo Corporation, Newark USA 218.85.139.179 Asia Pacific Network Information Centre, Australia 218.1.66.91 Asia Pacific Network Information Centre, Australia 71.16.89.18 USLEC Corp., USA 66.218.86.156 Yahoo!, Sunnyvale USA ... Leider kann ich Network Activ PIAFCTM beim einwählen nicht so schnell starten, so kann ich nur vermuten das die erste IP die kontaktiert die IP 208.66.194.14 ist. So nun was habe ich schon probiert: HijackThis zeigt NICHTS ungewöhnliches an !!!! Zusätzlich hab ich Ad-Aware, ewido anti-malware, Spybot durchlaufen lassen um Spyware zu finden (alle auf Stand von gestern Abend upgedatet), gefunden wurde: NICHTS !!! Virenkiller hatte ich ne Zeitlang AVG drauf, dann vor 2 Wochen nod32 draufgemacht und nod32 fand die ganze Zeit eine setup.exe die unter c:\dokumente und einstellungen\all users\dokumente war und zeigte mir an das diese setup.exe dort nen W32 trojaner wär (leider Namen genauen Namen nicht mehr weiß) und löschte diese setup.exe. Beim Nachschauen merkte ich aber das dieser Ordner Dokumente da gar nicht existiert (hab auch versteckte Datein sichtbar, den Ordner gibts trotzdem nicht). Gestern Abend hab ich mir dann eScan Internet Security runtergeladen, er fand: troj/taladra -f Backdoor imesh Spyware win32.passma Virus 007 spy software hackerz backdoor spyware hotbar spyware/Adware leider wollte die deutsche Trial Version von escan mir weder anzeigen in welchen Ordnern oder Reg.Einträgen das steckt noch wollte er sie löschen!! (Da kam nur ne Meldung, "keine Aktion durchgeführt"). Dannach habe ich mir die US Version von escan runtergeladen und er fand das gleiche und hat sie gelöscht!!! Danach escan deinstalliert und anschließend hab ich mir Kaspersky Anti-Virus runtergeladen (was derzeit noch drauf ist) aber der findet diesen Spammail-Wurm auch nicht Danach habe ich meine Firewall atguard bemüht und angefangen die IPs zu sperren. Es kristallisierten sich die IP von: RIPE Network Coordination Centre, Amsterdamm und von McColo Corporation, Newark USA als vermutlicher "Erstkontakt". Jedoch wenn ich diese beiden IPs gesperrt habe - kann ich nicht mehr surfen (T-Online Software, Explorer, Mozilla) Das verückte an diesem Wurm ist das sobald ich Ports sperre, der ala Portscanner weiter sucht, ebenso je mehr IPs ich blocke umso mehr IPs laden sich auf meinen PC ein Durchschnittstraffic dann etwa: download 45kbit/s und upload 279kbit/s, obwohl ich nix mache!! Nun die große Preisfrage, wie ich dieses Programm/Wurm/Virus finde das für meinen neuen Spammailserver hier verantwortlich ist und wie es wieder runter kriege Für die interessierten hier mal ein Log, das beim starten der Internetverbindung geloggt wurde: (Anmerkung meine Ip habe ich durch "meine IP" ersetzt) NetworkActiv PIAFCTM saved information: Type Size Source IP Destination IP sPort dPort Date/Time ---------------------------------------------------------------- TCP 64 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:19.517] TCP 40 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:20.118] TCP 40 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:20.128] TCP 64 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:20.138] TCP 40 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:20.799] TCP 40 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:20.799] TCP 112 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:20.809] TCP 64 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:22.070] TCP 40 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:22.661] UDP 112 217.237.151.225 meine Ip 53 1057 [2006.07.26 - 13:15:24.564] TCP 52 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.574] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.654] TCP 44 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.654] TCP 418 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.654] TCP 40 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.744] TCP 40 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.744] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.754] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.764] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.764] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.774] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.774] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.834] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.844] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.844] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.854] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.854] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.864] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.864] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.925] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.925] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.935] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.935] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.945] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.945] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.945] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.955] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.955] TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:25.005] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:25.005] TCP 190 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:25.005] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:25.165] UDP 90 218.1.253.165 meine Ip 8624 25658 [2006.07.26 - 13:15:32.776] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:35.520] TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:35.590] TCP 40 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:35.600] UDP 126 217.237.151.225 meine Ip 53 1057 [2006.07.26 - 13:15:35.670] TCP 52 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.680] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.760] TCP 52 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.760] TCP 412 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.760] TCP 40 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.860] TCP 210 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.870] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.880] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.890] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.890] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.960] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.960] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.970] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.970] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.970] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.051] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.051] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.051] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.061] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.061] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.061] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.071] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.071] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.131] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.141] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.141] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.141] TCP 44 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.151] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.171] TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.171] TCP 972 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.171] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.171] TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.171] TCP 52 meine Ip 208.66.194.14 3470 80 [2006.07.26 - 13:15:36.201] ... TCP 52 199.239.254.18 meine Ip 25 3524 [2006.07.26 - 13:16:05.793] TCP 40 207.115.57.16 meine Ip 25 3509 [2006.07.26 - 13:16:05.813] TCP 134 207.115.57.16 meine Ip 25 3509 [2006.07.26 - 13:16:05.813] TCP 85 meine Ip 207.115.57.16 3509 25 [2006.07.26 - 13:16:05.823] TCP 40 81.169.128.137 meine Ip 25 3506 [2006.07.26 - 13:16:05.823] TCP 40 meine Ip 207.115.20.22 3522 25 [2006.07.26 - 13:16:05.853] TCP 52 207.115.20.22 meine Ip 25 3522 [2006.07.26 - 13:16:05.853] TCP 40 meine Ip 128.121.85.2 3523 25 [2006.07.26 - 13:16:05.863] TCP 52 128.121.85.2 meine Ip 25 3523 [2006.07.26 - 13:16:05.873] TCP 40 meine Ip 212.27.48.6 3501 25 [2006.07.26 - 13:16:05.904] TCP 86 212.27.48.6 meine Ip 25 3501 [2006.07.26 - 13:16:05.904] TCP 40 212.27.48.6 meine Ip 25 3501 [2006.07.26 - 13:16:05.984] TCP 1300 meine Ip 212.27.48.6 3501 25 [2006.07.26 - 13:16:05.984] ... TCP 40 195.70.35.66 meine Ip 25 3511 [2006.07.26 - 13:16:08.928] TCP 40 meine Ip 212.27.48.6 3501 25 [2006.07.26 - 13:16:08.938] TCP 68 212.27.48.6 meine Ip 25 3501 [2006.07.26 - 13:16:08.938] TCP 40 67.28.113.10 meine Ip 25 3508 [2006.07.26 - 13:16:08.988] TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:08.988] TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:08.988] TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:08.998] UDP 95 217.237.150.225 meine Ip 53 1115 [2006.07.26 - 13:16:08.998] TCP 40 67.28.113.10 meine Ip 25 3508 [2006.07.26 - 13:16:09.038] TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:09.038] TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:09.038] UDP 151 217.237.151.225 meine Ip 53 1119 [2006.07.26 - 13:16:09.128] UDP 113 217.237.151.225 meine Ip 53 1118 [2006.07.26 - 13:16:09.128] TCP 40 67.28.113.10 meine Ip 25 3508 [2006.07.26 - 13:16:09.148] ... UDP 150 217.237.151.225 meine Ip 53 1115 [2006.07.26 - 13:16:12.002] TCP 40 202.108.3.230 meine Ip 25 3499 [2006.07.26 - 13:16:12.002] TCP 77 142.77.2.13 meine Ip 25 3521 [2006.07.26 - 13:16:12.042] TCP 48 208.45.133.107 meine Ip 25 3515 [2006.07.26 - 13:16:12.042] TCP 40 168.95.5.16 meine Ip 25 3531 [2006.07.26 - 13:16:12.042] TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.042] TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.042] TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.052] TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.052] TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.062] TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.062] TCP 77 meine Ip 208.45.133.107 3515 25 [2006.07.26 - 13:16:12.062] TCP 73 128.121.85.2 meine Ip 25 3523 [2006.07.26 - 13:16:12.092] TCP 46 meine Ip 128.121.85.2 3523 25 [2006.07.26 - 13:16:12.092] TCP 55 24.71.223.11 meine Ip 25 3502 [2006.07.26 - 13:16:12.092] TCP 46 meine Ip 24.71.223.11 3502 25 [2006.07.26 - 13:16:12.092] TCP 40 meine Ip 24.71.223.11 3502 25 [2006.07.26 - 13:16:12.102] TCP 40 199.239.254.18 meine Ip 25 3524 [2006.07.26 - 13:16:12.122] TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.122] TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.122] TCP 40 199.239.254.18 meine Ip 25 3524 [2006.07.26 - 13:16:12.142] TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.142] TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.142] Geändert von quink (26.07.2006 um 12:45 Uhr) |
26.07.2006, 12:51 | #2 |
| Hilfe: Werde als Spammailserver mißbraucht Da ich nen "Museum Hijack" hatte hier das neue Log:
__________________Logfile of HijackThis v1.99.1 Scan saved at 14:29:15, on 26.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE D:\Programme\AntiVir\Kaspersky\avp.exe C:\Programme\Sound\Creative Platinum\RemoteCenter\Rc\Rcman.exe C:\Programme\Sound\Creative Platinum\TaskBar\CTLTray.exe C:\Programme\Sound\Creative Platinum\TaskBar\CTLTask.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe C:\PROGRA~1\Intuwave\Shared\MROUTE~1\MROUTE~2.EXE C:\Programme\Sound\Creative Platinum\RemoteCenter\Rc\EAX.exe C:\Programme\Sound\Creative Platinum\RemoteCenter\Rc\VRC.exe C:\Programme\Sound\Creative Platinum\RemoteCenter\Center\RCenter.exe C:\Programme\Creative\ShareDLL\Mediadet.exe C:\Programme\Sound\Creative Platinum\RemoteCenter\Rc\OSDMenu.EXE D:\Programme\AntiVir\Kaspersky\avp.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\system32\CTSVCCDA.EXE D:\Programme\Zubehör\Diskeeper\DKService.exe C:\Programme\Zubehör\Spyware\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\T-DSL\SpeedManager\SpeedMgr.exe C:\Programme\T-DSL\SpeedManager\tsmsvc.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\INTERN~1\IEXPLORE.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Zubehör\Spyware\HijackThis v1.99\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.alltheweb.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alltheweb.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.alltheweb.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.alltheweb.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O3 - Toolbar: O4 - HKLM\..\Run: [kav] "D:\Programme\AntiVir\Kaspersky\avp.exe" O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Sound\Creative Platinum\RemoteCenter\Rc\Rcman.exe O4 - HKCU\..\Run: [TaskTray] "C:\Programme\Sound\Creative Platinum\TaskBar\CTLTray.exe" O4 - HKCU\..\Run: [TaskBar] "C:\Programme\Sound\Creative Platinum\TaskBar\CTLTask.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\AntiVir\Kaspersky\scieplugin.dll O9 - Extra button: (no name) - {578FC4E3-151E-456c-AF8E-B63061EFE228}} - (no file) O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\WINDOWS\System32\shdocvw.dll O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: nwBYxTeuOZfpcC - {285B1ED6-82F1-B47C-E860-F78C5DC3923D} - (no file) O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Programme\AntiVir\Kaspersky\avp.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\Zubehör\Diskeeper\DKService.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\Zubehör\Spyware\ewido anti-malware\ewidoctrl.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\CDR\Alcohol\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL\SpeedManager\tsmsvc.exe Mein "Museums Hijack" zeigt zwar die ganzen 020 und 023 oben nicht an, dafür zeigte er unter 016 was an das hier mit der neuen Version von hijack nicht angezeigt wird: O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - Geändert von quink (26.07.2006 um 13:41 Uhr) |
26.07.2006, 12:56 | #3 |
/// Mr. Schatten | Hilfe: Werde als Spammailserver mißbraucht__________________
__________________ |
26.07.2006, 13:42 | #4 |
| Hilfe: Werde als Spammailserver mißbraucht neues Log wurde oben eingefügt |
26.07.2006, 13:47 | #5 |
| Hilfe: Werde als Spammailserver mißbraucht Da ich persöhnlich vermute das der Wurm (?) sich bei einem Windows Systemprogramm dran gehangen hat, könnte mal bitte jemand die Dateigröße posten von: C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe Die Dateien oben aus dem Hijack Log von Microworld(?) kenn ich übrigens nicht: C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe In diesem Ordner befindet sich noch zusätzlich die Datei MWAGENT.LAN das wie ne Art config aussieht und wo was von escan drin steht (Reste vom deinstallierten eScan?) Geändert von quink (26.07.2006 um 13:57 Uhr) |
26.07.2006, 17:15 | #6 |
Moderator, a.D. | Hilfe: Werde als Spammailserver mißbraucht Da du, wie du schreibst, mindestens eine aktive Backdoor auf dem Rechner hast (die Symptome sprechen auch dafür), folge der Anleitung zum Backdoor-Entfernen in meiner Signatur. Gruß Yopie |
26.07.2006, 21:25 | #7 | |
| Hilfe: Werde als Spammailserver mißbrauchtZitat:
Das schlimme ist eigentlich das kein bis jetzt inst. Virenkiller dieses Teil findet, wie nennt man das verarscht von der Antiviren Industrie Kennt denn wirklich niemand von euch diesen Troajner/Wurm und hat ne Lösungstrategie ? |
26.07.2006, 21:38 | #8 | ||
Moderator, a.D. | Hilfe: Werde als Spammailserver mißbrauchtZitat:
Und wenn du es nicht machst, wird dich dein Provider früher oder später eh sperren, und wenn du Pech hast, bist du auch noch in juristischen Problemen. Abgesehen davon finde ich es ziemlich asozial, wissentlich einen verseuchten Rechner ins Internet zu hängen. Zitat:
Gruß Yopie |
26.07.2006, 21:45 | #9 |
| Hilfe: Werde als Spammailserver mißbraucht nun ja, ich persönlich kann mich nicht dran erinnern das : C:\WINDOWS\System32\tcpsvcs.exe ein laufender für das System wichtiger Process ist. C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\cisvc.exe und das hab ich auch noch nicht gesehen : O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\AntiVir\Kaspersky\scieplugin.dll bezüglich Pfadangabe |
26.07.2006, 21:50 | #10 | |
Administrator > Competence Manager | Hilfe: Werde als Spammailserver mißbrauchtZitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
26.07.2006, 22:18 | #11 | |
| Hilfe: Werde als Spammailserver mißbrauchtZitat:
sieht eher nach : Unknown file in Winsock LSP aus. Geändert von iso9001 (26.07.2006 um 22:34 Uhr) |
26.07.2006, 22:28 | #12 |
| Hilfe: Werde als Spammailserver mißbraucht mOIn auch, @iso9001 wo nimmst du deine Infos her? ich z.B. kann Google bedienen wie die meisten hier auch. MFG |
26.07.2006, 22:44 | #13 |
| Hilfe: Werde als Spammailserver mißbraucht @nochdigger, dartus
__________________ Kein Support per PN |
26.07.2006, 23:40 | #14 | |||
| Hilfe: Werde als Spammailserver mißbraucht @Moderator Zitat:
Zitat:
Zitat:
Ist doch völliger Unsinn, du brauchst nur eine falsche Seite besuchen und dann wars das. Hat mit "Fehlverhalten" null und nichtig zu tun, solltest du aber als Mod eines Trojaners Boards eigentlich wissen |
26.07.2006, 23:56 | #15 | |||
Moderator, a.D. | Hilfe: Werde als Spammailserver mißbrauchtZitat:
Warum soll man den PC plätten: Weil ein Vollzugriff auch auf Systemdateien auf deinen Rechner von außen bestand, und offensichtlich auch genutzt wurde. Dein System und die darauf laufenden Programme sind nicht mehr vertrauenswürdig, und die Symptome sprechen auch eine überaus deutliche Sprache. Zitat:
Zitat:
Aber vorher nimm endlich deine spammende Kiste vom Netz! Gruß Yopie |
Themen zu Hilfe: Werde als Spammailserver mißbraucht |
ad-aware, avg, beim starten, cid, einstellungen, email, explorer, firewall, ftp, gesperrt, immer wieder, internet, internet security, kaspersky, log, löschen, ordner, outlook express, programme, spam, spyware, starten, surfen, t-online, trojaner, träge, udp, virus, windows, wörter |