Hilfe: Werde als Spammailserver mißbraucht

quink · 26.07.2006, 12:29

Hallo,
Vor ein paar Tagen viel mir schon auf das mein T-Online SpeedManager mir anzeigte das unbekannte uploads und downloads laufen (Der Speedmanager is ein kleines Tool was die Geschwindigkeit des Upload und Download anzeigt). Ich dachte an einen Virus, oder spyware, hab darum einige Programme durchlaufen lassen: Nichts!!
Da der SpeedManager mir aber nen upload und download anzeigte muß ja was da sein, also habe ich mir tcpview runtergeladen das alle TCP, UDP Verbindungen anzeigt: Nichts!!
Nun bin ich über ein Programm gestolpert: Network Activ PIAFCTM
download: http://www.zdnet.de/downloads/prg/u/x/de0DUX-wc.html

Laut Beschreibung des Programms:
"Dieser kostenlose Paket- und Datei-Sniffer gibt Einblick in die gesamte Kommunikation, ob sie nun vom eigenen PC ausgeht oder ihn erreicht. Spyware oder Programme, die "nach Hause telefonieren", sind damit schnell identifiziert."

Und was stelle ich nach dem starten des Programms fest ?
Irgentwelche Idioten schicken über deren Ports Datenpakete auf meinen Rechner. Die Datenpakate kann man teilweise lesen, teilweise leider nur wirre Zeichen - und man findet zig email und Spam darin, sieht also so aus das da wer Datenpakate zu mir schickt und ich die wohl als "Spamserver" weiterschicke (?)

Hier mal ein paar "Beispiele" aus Datenpaketen die ohne mein wissen über meinen PC gehen - bevor der Quatsch losgeht wird von meinem Rechner (vermutlich) ein datenpaket mit einigen wenigen nichtlesbaren Bit zu einem PC
geschickt, ich vermute diese IP:
208.66.xxx.xx (nachdem unsere PC einige Zeit kleine Datenpakate ausgetauscht haben, kommt ein "lesbares" Datenpaket):

POST /banner/index.php HTTP/1.0
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Accept-Language: en
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
Host: 208.66.xxx.xx
Content-Type: application/x-www-form-urlencoded
Content-Length: 103
Connection: Close
Pragma: no-cache

Dann folgen wieder zig Datenpakete (wirre Zeichen), und darunter findet sich dann zb. sowas hier (was "lesbar" ist):
(Anmerkung die xxxx da hab ich ne IP oder ne email adresse unkenntlich mit gemacht)
(Anmerkung2: einige Wörter wie "body", "Div" mußte ich in " setzen um sie hier wegen der Wortsperre posten zu können,
ebenso habe ich < und > in ein + ersetzen müssen)

Message-ID:
From: "boners."
To: bompane@muxxxxxey.com
Subject: latest album Executive
Date: Tue, 25 Jul 2006 22:17:25 -0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_xxxxxxxxxxxxxxxxxx"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2873
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2873

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_000E_01C6B038.1B6F1640"

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

scanswere workers left.
crackwith boners. whoops
Lebanon Bush: plan better Baghdad security
FREE speedy
pageTry
Age Gaps
Germany Spain Italy France
saysany
Stewart returns rock latest
getting water
up repair
limits starting ending
radiating from array
installed default but optional
expected
Dirt pileBldg.
SHOPPING FORUMS MEDIA REQUESTS
partof
romance Ideas: Quote: Article: corporate
R. Lipman
specify equipment used.
color intensity
those little lasers.

----------------------------------------------
s below
WHOS FATTY ZIA
cloudto already global i.e.
user defined limits starting ending thisarea after
materials delivered
thevolume byfinding bounded
Witzgall C.Bernal J. Program Report
site.

------=_NextPart
Content-Type: text/html;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

+"meta" http-equiv=3DContent-Type content=3D"text/html; =
charset=3Dwindows-1250"+
+"meta" content=3D"MSHTML 6.00.2900.2873" name=3DGENERATOR+

+"body" bgColor=3D#ffffff+
+"div" align=3Dcenter+
hspace=3D0 src=3D"cid:xxxxxxxxxxxxxxxxxxxxxxxxxxx" =
align=3Dbaseline=20
border=3D0+
+"div" align=3Dleft+heezy
+"div" align=3Dleft+Then respond them. write
+"div" align=3Dleft+RockStar HatsFo dam crackas party
+"div" align=3Dleft+minimum DC amaximum A.
+"div" align=3Dleft+Windows XP
+"div" align=3Dleft+will work as well

----------------------------------------------
Message-ID:
From: "path."
To: bompane@muxxxxxnd.com
Subject: boy
Date: Tue, 25 Jul 2006 22:17:19 -0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxxx"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2873
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2873

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxx
Content-Type: multipart/alternative;
boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxx"

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxx
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

heezy
Then respond them. write
RockStar HatsFo dam crackas party
minimum DC amaximum A.
Windows XP
will work as well.
materials delivered payment tasks thevolume
protocol
andprior knowledge aids them.A
copy Extras
studies See demoYahoo
Kids FAQWho
fixing
published journal. Witzgall
Newsin WebAd Answer
happen seem
GIT STAnKIN ASS quotWHOS
gets MySpaceOK
HOMEYS CMR rawked jar
Yahoo
release featuring
Everyday Recipes Night
length extent
pattern donot identify
TclTkAqua link

-----------------------------------------------
221 mail1.muxxxxxen.com closing connection.

-----------------------------------------------
Backup Mail Service ESMTP (mail2.clxxxxxra.net)

-----------------------------------------------
mail.euxxxxxoe.com Microsoft ESMTP MAIL Service,
Version: 6.0.3790.1830 ready at Tue, 25 Jul 2006
22:24:13 +0200

-----------------------------------------------
intensity
+"div" align=3Dleft+those little lasers. five sections
+"div" align=3Dleft+same writing keeping track
+"div" align=3Dleft+when movie
+"div" align=3Dleft+areasof day. occluded
+"div" align=3Dleft+FTP transfer
+"div" align=3Dleft+IM go. Tell more.In
+"div" align=3Dleft+others.As fixed
+"div" align=3Dleft+installer package Panther
+"div" align=3Dleft+Examples Making
+"div" align=3Dleft+MSDOS. Download

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx--

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: image/gif;
name="most.gif"
Content-Transfer-Encoding: base64
Content-ID:

-----------------------------------------------
HTTP/1.1 200 OK
Date: Tue, 25 Jul 2006 20:02:43 GMT
Server: Apache/2.0.52 (Win32)
X-Powered-By: PHP/4.3.4
Content-Length: 10023
Connection: close
Content-Type: text/html

-----------------------------------------------
Message-ID:
From: "lil honkeys"
To: a.speck@blxxxxxin.ch
Subject: battery anauto meet isheavy
Date: Tue, 25 Jul 2006 22:03:44 -0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxxxx"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2873
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2873

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: multipart/alternative;
boundary="----=_NextPart_xxxxxxxxxxxxxxxxxxxxxxx"

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

prior LPM point
slayings England palace
standard
plan better Baghdad
aweb allows
Items Kids FAQWho
letting hump
amazing
deep series rooms convince
Oniguruma Rubys shiny
will work
tohave beyond areasof day. occluded larger
whenthe scans obtained. stored
dam crackas party
Institute Standards
enable parts
thescene bothcases protocols assess
draws
supply power tothe thefield readily minimum
GOLD BIATCH TOUR DATES
make /usr/bin comes before
change
wankst

---------------------------------------------

as Group Tracks Contests Shizznit Links
dfc gets
classic arcade been computer.
files copy Extras folder
future efforts volumes
Dam bukakke face. playing
thangs
Phone Cell
view.When manually greater
Bootdisk Windows XP C:

------=_NextPart_xxxxxxxxxxxxxxxxxxxxxxx
Content-Type: text/html;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

+"meta" http-equiv=3DContent-Type content=3D"text/html; =
charset=3Dwindows-1250"+
+"meta" content=3D"MSHTML 6.00.2900.2873" name=3DGENERATOR+

+"body" bgColor=3D#ffffff+
+"div" align=3Dcenter+
hspace=3D0 src=3D"cid:0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" =
align=3Dbaseline=20
border=3D0+
+"div" align=3Dleft+prior LPM point
+"div" align=3Dleft+slayings England palace
+"div" align=3Dleft+standard
+"div" align=3Dleft+plan better Baghdad
+"div" align=3Dleft+aweb allows
+"div" align=3Dleft+Item

----------------------------------------------

s Kids FAQWho
+"div" align=3Dleft+letting hump
+"div" align=3Dleft+amazing
+"div" align=3Dleft+deep series rooms convince
+"div" align=3Dleft+Oniguruma Rubys shiny
+"div" align=3Dleft+will work
+"div" align=3Dleft+tohave beyond areasof day. occluded larger
+"div" align=3Dleft+whenthe scans obtained. stored
+"div" align=3Dleft+dam crackas party
+"div" align=3Dleft+Institute Standards
+"div" align=3Dleft+enable parts
+"div" align=3Dleft+thescene bothcases protocols assess
+"div" align=3Dleft+draws
+"div" align=3Dleft+supply power tothe thefield readily minimum
+"div" align=3Dleft+GOLD BIATCH TOUR DATES
+"div" align=3Dleft+make /usr/bin comes before ----------------------------------------------

Zusammen sind es über etwa 30 Minuten beobachtet etwas 10-12 verschiedene IP die mit meinem PC Daten austauschen, teilweise dabei hab ich vollen upload Transfer

Da mein PC (ich habe weder Outlook, noch Apache) mit meinem WindowsXP SP2 zum Spamserver mutiert ist

mal hier die IPs die immer wieder auftauchen:

80.98.122.215 RIPE Network Coordination Centre, Amsterdamm
217.237.150.225 RIPE Network Coordination Centre, Amsterdamm
80.146.112.207 RIPE Network Coordination Centre, Amsterdamm
63.70.164.32 Sandhills Publishing Company
208.66.194.14 McColo Corporation, Newark USA
218.85.139.179 Asia Pacific Network Information Centre, Australia
218.1.66.91 Asia Pacific Network Information Centre, Australia
71.16.89.18 USLEC Corp., USA
66.218.86.156 Yahoo!, Sunnyvale USA
...

Leider kann ich Network Activ PIAFCTM beim einwählen nicht so schnell starten, so kann ich nur vermuten das die erste IP die kontaktiert die IP 208.66.194.14 ist.

So nun was habe ich schon probiert:
HijackThis zeigt NICHTS ungewöhnliches an !!!!
Zusätzlich hab ich Ad-Aware, ewido anti-malware, Spybot durchlaufen lassen um Spyware zu finden (alle auf Stand von gestern Abend upgedatet), gefunden wurde: NICHTS !!!

Virenkiller hatte ich ne Zeitlang AVG drauf, dann vor 2 Wochen nod32 draufgemacht und nod32 fand die ganze Zeit eine setup.exe die unter c:\dokumente und einstellungen\all users\dokumente war und zeigte mir an das diese setup.exe dort nen W32 trojaner wär (leider Namen genauen Namen nicht mehr weiß) und löschte diese setup.exe. Beim Nachschauen merkte ich aber das dieser Ordner Dokumente da gar nicht existiert (hab auch versteckte Datein sichtbar, den Ordner gibts trotzdem nicht).
Gestern Abend hab ich mir dann eScan Internet Security runtergeladen, er fand:
troj/taladra -f Backdoor
imesh Spyware
win32.passma Virus
007 spy software
hackerz backdoor spyware
hotbar spyware/Adware
leider wollte die deutsche Trial Version von escan mir weder anzeigen in welchen Ordnern oder Reg.Einträgen das steckt noch wollte er sie löschen!! (Da kam nur ne Meldung, "keine Aktion durchgeführt"). Dannach habe ich mir die US Version von escan runtergeladen und er fand das gleiche und hat sie gelöscht!!! Danach escan deinstalliert und anschließend hab ich mir Kaspersky Anti-Virus runtergeladen (was derzeit noch drauf ist) aber der findet diesen Spammail-Wurm auch nicht

Danach habe ich meine Firewall atguard bemüht und angefangen die IPs zu sperren. Es kristallisierten sich die IP von:

RIPE Network Coordination Centre, Amsterdamm und von
McColo Corporation, Newark USA
als vermutlicher "Erstkontakt". Jedoch wenn ich diese beiden IPs gesperrt habe - kann ich nicht mehr surfen (T-Online Software, Explorer, Mozilla)

Das verückte an diesem Wurm ist das sobald ich Ports sperre, der ala Portscanner weiter sucht, ebenso je mehr IPs ich blocke umso mehr IPs laden sich auf meinen PC ein

Durchschnittstraffic dann etwa: download 45kbit/s und upload 279kbit/s, obwohl ich nix mache!!

Nun die große Preisfrage, wie ich dieses Programm/Wurm/Virus finde das für meinen neuen Spammailserver hier verantwortlich ist und wie es wieder runter kriege

Für die interessierten hier mal ein Log, das beim starten der Internetverbindung geloggt wurde:
(Anmerkung meine Ip habe ich durch "meine IP" ersetzt)

NetworkActiv PIAFCTM saved information:

Type Size Source IP Destination IP sPort dPort Date/Time
----------------------------------------------------------------
TCP 64 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:19.517]
TCP 40 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:20.118]
TCP 40 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:20.128]
TCP 64 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:20.138]
TCP 40 80.146.127.109 meine Ip 2732 135 [2006.07.26 - 13:15:20.799]
TCP 40 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:20.799]
TCP 112 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:20.809]
TCP 64 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:22.070]
TCP 40 80.146.127.109 meine Ip 2894 135 [2006.07.26 - 13:15:22.661]
UDP 112 217.237.151.225 meine Ip 53 1057 [2006.07.26 - 13:15:24.564]
TCP 52 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.574]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.654]
TCP 44 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.654]
TCP 418 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.654]
TCP 40 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.744]
TCP 40 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.744]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.754]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.764]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.764]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.774]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.774]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.834]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.844]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.844]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.854]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.854]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.864]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.864]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.925]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.925]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.935]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.935]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.945]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.945]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.945]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:24.955]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:24.955]
TCP 1300 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:25.005]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:25.005]
TCP 190 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:25.005]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:25.165]
UDP 90 218.1.253.165 meine Ip 8624 25658 [2006.07.26 - 13:15:32.776]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:35.520]
TCP 40 meine Ip 66.249.85.99 3468 80 [2006.07.26 - 13:15:35.590]
TCP 40 66.249.85.99 meine Ip 80 3468 [2006.07.26 - 13:15:35.600]
UDP 126 217.237.151.225 meine Ip 53 1057 [2006.07.26 - 13:15:35.670]
TCP 52 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.680]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.760]
TCP 52 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.760]
TCP 412 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.760]
TCP 40 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.860]
TCP 210 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.870]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.880]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.890]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.890]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.960]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.960]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.970]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:35.970]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:35.970]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.051]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.051]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.051]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.061]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.061]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.061]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.071]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.071]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.131]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.141]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.141]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.141]
TCP 44 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.151]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.171]
TCP 1300 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.171]
TCP 972 194.159.245.16 meine Ip 80 3469 [2006.07.26 - 13:15:36.171]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.171]
TCP 40 meine Ip 194.159.245.16 3469 80 [2006.07.26 - 13:15:36.171]
TCP 52 meine Ip 208.66.194.14 3470 80 [2006.07.26 - 13:15:36.201]
...
TCP 52 199.239.254.18 meine Ip 25 3524 [2006.07.26 - 13:16:05.793]
TCP 40 207.115.57.16 meine Ip 25 3509 [2006.07.26 - 13:16:05.813]
TCP 134 207.115.57.16 meine Ip 25 3509 [2006.07.26 - 13:16:05.813]
TCP 85 meine Ip 207.115.57.16 3509 25 [2006.07.26 - 13:16:05.823]
TCP 40 81.169.128.137 meine Ip 25 3506 [2006.07.26 - 13:16:05.823]
TCP 40 meine Ip 207.115.20.22 3522 25 [2006.07.26 - 13:16:05.853]
TCP 52 207.115.20.22 meine Ip 25 3522 [2006.07.26 - 13:16:05.853]
TCP 40 meine Ip 128.121.85.2 3523 25 [2006.07.26 - 13:16:05.863]
TCP 52 128.121.85.2 meine Ip 25 3523 [2006.07.26 - 13:16:05.873]
TCP 40 meine Ip 212.27.48.6 3501 25 [2006.07.26 - 13:16:05.904]
TCP 86 212.27.48.6 meine Ip 25 3501 [2006.07.26 - 13:16:05.904]
TCP 40 212.27.48.6 meine Ip 25 3501 [2006.07.26 - 13:16:05.984]
TCP 1300 meine Ip 212.27.48.6 3501 25 [2006.07.26 - 13:16:05.984]
...
TCP 40 195.70.35.66 meine Ip 25 3511 [2006.07.26 - 13:16:08.928]
TCP 40 meine Ip 212.27.48.6 3501 25 [2006.07.26 - 13:16:08.938]
TCP 68 212.27.48.6 meine Ip 25 3501 [2006.07.26 - 13:16:08.938]
TCP 40 67.28.113.10 meine Ip 25 3508 [2006.07.26 - 13:16:08.988]
TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:08.988]
TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:08.988]
TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:08.998]
UDP 95 217.237.150.225 meine Ip 53 1115 [2006.07.26 - 13:16:08.998]
TCP 40 67.28.113.10 meine Ip 25 3508 [2006.07.26 - 13:16:09.038]
TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:09.038]
TCP 1300 meine Ip 67.28.113.10 3508 25 [2006.07.26 - 13:16:09.038]
UDP 151 217.237.151.225 meine Ip 53 1119 [2006.07.26 - 13:16:09.128]
UDP 113 217.237.151.225 meine Ip 53 1118 [2006.07.26 - 13:16:09.128]
TCP 40 67.28.113.10 meine Ip 25 3508 [2006.07.26 - 13:16:09.148]
...
UDP 150 217.237.151.225 meine Ip 53 1115 [2006.07.26 - 13:16:12.002]
TCP 40 202.108.3.230 meine Ip 25 3499 [2006.07.26 - 13:16:12.002]
TCP 77 142.77.2.13 meine Ip 25 3521 [2006.07.26 - 13:16:12.042]
TCP 48 208.45.133.107 meine Ip 25 3515 [2006.07.26 - 13:16:12.042]
TCP 40 168.95.5.16 meine Ip 25 3531 [2006.07.26 - 13:16:12.042]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.042]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.042]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.052]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.052]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.062]
TCP 1300 meine Ip 142.77.2.13 3521 25 [2006.07.26 - 13:16:12.062]
TCP 77 meine Ip 208.45.133.107 3515 25 [2006.07.26 - 13:16:12.062]
TCP 73 128.121.85.2 meine Ip 25 3523 [2006.07.26 - 13:16:12.092]
TCP 46 meine Ip 128.121.85.2 3523 25 [2006.07.26 - 13:16:12.092]
TCP 55 24.71.223.11 meine Ip 25 3502 [2006.07.26 - 13:16:12.092]
TCP 46 meine Ip 24.71.223.11 3502 25 [2006.07.26 - 13:16:12.092]
TCP 40 meine Ip 24.71.223.11 3502 25 [2006.07.26 - 13:16:12.102]
TCP 40 199.239.254.18 meine Ip 25 3524 [2006.07.26 - 13:16:12.122]
TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.122]
TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.122]
TCP 40 199.239.254.18 meine Ip 25 3524 [2006.07.26 - 13:16:12.142]
TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.142]
TCP 1300 meine Ip 199.239.254.18 3524 25 [2006.07.26 - 13:16:12.142]

quink · 26.07.2006, 12:51

Da ich nen "Museum Hijack" hatte hier das neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:29:15, on 26.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir\Kaspersky\avp.exe
C:\Programme\Sound\Creative Platinum\RemoteCenter\Rc\Rcman.exe
C:\Programme\Sound\Creative Platinum\TaskBar\CTLTray.exe
C:\Programme\Sound\Creative Platinum\TaskBar\CTLTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE
C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe
C:\PROGRA~1\Intuwave\Shared\MROUTE~1\MROUTE~2.EXE
C:\Programme\Sound\Creative Platinum\RemoteCenter\Rc\EAX.exe
C:\Programme\Sound\Creative Platinum\RemoteCenter\Rc\VRC.exe
C:\Programme\Sound\Creative Platinum\RemoteCenter\Center\RCenter.exe
C:\Programme\Creative\ShareDLL\Mediadet.exe
C:\Programme\Sound\Creative Platinum\RemoteCenter\Rc\OSDMenu.EXE
D:\Programme\AntiVir\Kaspersky\avp.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
D:\Programme\Zubehör\Diskeeper\DKService.exe
C:\Programme\Zubehör\Spyware\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\T-DSL\SpeedManager\SpeedMgr.exe
C:\Programme\T-DSL\SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Zubehör\Spyware\HijackThis v1.99\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.alltheweb.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alltheweb.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.alltheweb.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.alltheweb.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar:
O4 - HKLM\..\Run: [kav] "D:\Programme\AntiVir\Kaspersky\avp.exe"
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Sound\Creative Platinum\RemoteCenter\Rc\Rcman.exe
O4 - HKCU\..\Run: [TaskTray] "C:\Programme\Sound\Creative Platinum\TaskBar\CTLTray.exe"
O4 - HKCU\..\Run: [TaskBar] "C:\Programme\Sound\Creative Platinum\TaskBar\CTLTask.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\AntiVir\Kaspersky\scieplugin.dll
O9 - Extra button: (no name) - {578FC4E3-151E-456c-AF8E-B63061EFE228}} - (no file)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: nwBYxTeuOZfpcC - {285B1ED6-82F1-B47C-E860-F78C5DC3923D} - (no file)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Programme\AntiVir\Kaspersky\avp.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Programme\Zubehör\Diskeeper\DKService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\Zubehör\Spyware\ewido anti-malware\ewidoctrl.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\CDR\Alcohol\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL\SpeedManager\tsmsvc.exe

Mein "Museums Hijack" zeigt zwar die ganzen 020 und 023 oben nicht an, dafür zeigte er unter 016 was an das hier mit der neuen Version von hijack nicht angezeigt wird:
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

Shadow · 26.07.2006, 12:56

Zitat:

Zitat von quink

Hier mein Hijack Logfile:

Logfile of HijackThis v1.97.7

Warst du gerade im Museum?
Benutze bitte ein aktuelles Hijackthis

quink · 26.07.2006, 13:42

neues Log wurde oben eingefügt

quink · 26.07.2006, 13:47

Da ich persöhnlich vermute das der Wurm (?) sich bei einem Windows Systemprogramm dran gehangen hat, könnte mal bitte jemand die Dateigröße posten von:
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe

Die Dateien oben aus dem Hijack Log von Microworld(?) kenn ich übrigens nicht:
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
In diesem Ordner befindet sich noch zusätzlich die Datei MWAGENT.LAN das wie ne Art config aussieht und wo was von escan drin steht (Reste vom deinstallierten eScan?)

Yopie · 26.07.2006, 17:15

Da du, wie du schreibst, mindestens eine aktive Backdoor auf dem Rechner hast (die Symptome sprechen auch dafür), folge der Anleitung zum Backdoor-Entfernen in meiner Signatur.

Gruß

Yopie

quink · 26.07.2006, 21:25

Zitat:

Die einzig sichere Möglichkeit um wieder einen vertrauenswürdigen Zustand herzustellen wäre ein Neuaufsetzen des System mit anschliessender Absicherung.

Also wegen eines Trojaners oder Wurm mein ganzes System zu plätten - das hatte ich eigentlich vor. Da müßte man ja alle paar Wochen sein System "neu aufsetzten" und soviel Zeit hab ich nicht übrig

Das schlimme ist eigentlich das kein bis jetzt inst. Virenkiller dieses Teil findet, wie nennt man das verarscht von der Antiviren Industrie

Kennt denn wirklich niemand von euch diesen Troajner/Wurm und hat ne Lösungstrategie ?

Yopie · 26.07.2006, 21:38

Zitat:

Zitat von quink

Also wegen eines Trojaners oder Wurm mein ganzes System zu plätten - das hatte ich eigentlich vor.

Ist ziemlich unerheblich, was du eigentlich vorhast. Bei einer Backdoor gibt es keine andere Möglichkeit, die Gründe kennst du, wenn du die Anleitung gelesen hast.

Und wenn du es nicht machst, wird dich dein Provider früher oder später eh sperren, und wenn du Pech hast, bist du auch noch in juristischen Problemen. Abgesehen davon finde ich es ziemlich asozial, wissentlich einen verseuchten Rechner ins Internet zu hängen.

Zitat:

Da müßte man ja alle paar Wochen sein System "neu aufsetzten"

Da sich Würmer, Backdoors etc. nicht ohne Zutun bzw. ohne krasses Fehlverhalten des Nutzers installieren, spricht diese Sichtweise nicht für dich.

Gruß

Yopie

iso9001 · 26.07.2006, 21:45

nun ja, ich persönlich kann mich nicht dran erinnern das : C:\WINDOWS\System32\tcpsvcs.exe ein laufender für das System wichtiger Process ist.

C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\cisvc.exe

und das hab ich auch noch nicht gesehen : O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\AntiVir\Kaspersky\scieplugin.dll

bezüglich Pfadangabe

**Sunny** · 26.07.2006, 21:50

Zitat:

Zitat von iso9001

nun ja, ich persönlich kann mich nicht dran erinnern das : C:\WINDOWS\System32\tcpsvcs.exe ein laufender für das System wichtiger Process ist.

Das Programm gehört zum TCP/IP Protokoll und ist für die Internet und Intranet Verbindungen zuständig. Es startet nur wenn man spezielle TCP/IP Anwendungen, wie den DHCP Server konfiguriert.

iso9001 · 26.07.2006, 22:18

Zitat:

Zitat von [Gc]Sunny

Das Programm gehört zum TCP/IP Protokoll und ist für die Internet und Intranet Verbindungen zuständig. Es startet nur wenn man spezielle TCP/IP Anwendungen, wie den DHCP Server konfiguriert.

woher nimmst du diese Informationen ? bei mir gibt es das jedenfalls nicht eventuell.

sieht eher nach : Unknown file in Winsock LSP aus.

nochdigger · 26.07.2006, 22:28

mOIn auch,
@iso9001 wo nimmst du deine Infos her? ich z.B. kann Google bedienen

wie die meisten hier auch.
MFG

dartus · 26.07.2006, 22:44

@nochdigger,

dartus

quink · 26.07.2006, 23:40

@Moderator

Zitat:

Bei einer Backdoor gibt es keine andere Möglichkeit, die Gründe kennst du, wenn du die Anleitung gelesen hast.

Also die Einstellung die du hier breit machst kann ich kein bißchen nachvollziehen und erst Recht nicht diese Dau Anleitung das man gleich den PC plätten soll..

Zitat:

Abgesehen davon finde ich es ziemlich asozial, wissentlich einen verseuchten Rechner ins Internet zu hängen.

Sehr einseitige Meinung, hinzu kommt das ich zufällig diesen Wurm entdeckt habe, ich will gar nicht wissen wie viele den auf ihren Rechnern haben es aber nichtmals wissen. Alleine schon aus diesem Grund wäre es sinnvoller herauszufinden welche Datei/Regeintrag dafür verantwortlich ist um dieses Ding zur Virenstelle einzuschicken, daran solltet du mal denken.

Zitat:

Da sich Würmer, Backdoors etc. nicht ohne Zutun bzw. ohne krasses Fehlverhalten des Nutzers installieren, spricht diese Sichtweise nicht für dich

.
Ist doch völliger Unsinn, du brauchst nur eine falsche Seite besuchen und dann wars das. Hat mit "Fehlverhalten" null und nichtig zu tun, solltest du aber als Mod eines Trojaners Boards eigentlich wissen

Yopie · 26.07.2006, 23:56

Zitat:

Zitat von quink

@Moderator
Also die Einstellung die du hier breit machst kann ich kein bißchen nachvollziehen und erst Recht nicht diese Dau Anleitung das man gleich den PC plätten soll..

Zum Geleit: Wenn ich hier als Moderator poste, dann merkst du das schon. Daneben bin ich ein ganz normaler User dieses Boards, und in dieser Eigenschaft schreibe ich den Großteil meiner Postings.

Warum soll man den PC plätten: Weil ein Vollzugriff auch auf Systemdateien auf deinen Rechner von außen bestand, und offensichtlich auch genutzt wurde. Dein System und die darauf laufenden Programme sind nicht mehr vertrauenswürdig, und die Symptome sprechen auch eine überaus deutliche Sprache.

Zitat:

Sehr einseitige Meinung, hinzu kommt das ich zufällig diesen Wurm entdeckt habe, ich will gar nicht wissen wie viele den auf ihren Rechnern haben es aber nichtmals wissen. Alleine schon aus diesem Grund wäre es sinnvoller herauszufinden welche Datei/Regeintrag dafür verantwortlich ist um dieses Ding zur Virenstelle einzuschicken, daran solltet du mal denken.

Mehrere Backdoor-Programme wurden doch schon von deinen Programmen entdeckt. Es liegt aber in der Natur der Sache, dass diese Programme die Folgen des Befalls nicht rückgängig machen können. Kein Programm kann das!

Zitat:

Ist doch völliger Unsinn, du brauchst nur eine falsche Seite besuchen und dann wars das. Hat mit "Fehlverhalten" null und nichtig zu tun, solltest du aber als Mod eines Trojaners Boards eigentlich wissen

Ich verweise auf die Pflichtlektüre in meiner Signatur. Lesen und verstehen!
Aber vorher nimm endlich deine spammende Kiste vom Netz!

Gruß

Yopie

26.07.2006, 17:15	#6
Yopie Moderator, a.D.	Hilfe: Werde als Spammailserver mißbraucht Da du, wie du schreibst, mindestens eine aktive Backdoor auf dem Rechner hast (die Symptome sprechen auch dafür), folge der Anleitung zum Backdoor-Entfernen in meiner Signatur. Gruß Yopie

Hilfe: Werde als Spammailserver mißbraucht

Plagegeister aller Art und deren Bekämpfung: Hilfe: Werde als Spammailserver mißbraucht