[erledigt] Backdoor oder was?

  • Moin,
    seit ein paar Tagen (keine Erinnerung wann es zum 1. mal auftrat) habe ich einen enormen autom. SMTP Transfer zu merkwürdigen Adressen.
    Hier mal ein kleiner Ausschnitt :wink:
    [Blockierte Grafik: http://upload9.postimage.org/374165/tcp.jpg]

    Habe Avast, Spybot, Ad-Aware, RootkitRevealer, Panda Anti-Rootkit laufen lassen.
    Keiner findet was :cry:
    Kennt wer das Problem? Im Netz gibt es noch mehr Jungs mit dem Krempel. aber keine Lösung.

    Kann dem Spuk nur ein Ende bereiten wenn ich den Smtp Port 25 sperre!

    Die viruseigene Smtp Engine auf Port 25 :?:

    Neu aufsetzen (möglichst nicht :evil: )?

    Danke für ev.Tipps [Blockierte Grafik: http://www.cosgan.de/images/midi/liebe/u030.gif]

    Einmal editiert, zuletzt von bejot (21. Juli 2007 um 23:11)

  • Sieht so aus, als würde Dein Rechner automatisch (Spam?)Mails versenden, da der Mailversand in der Regel über Port 25 läuft. Das deutet doch schon stark auf irgend eine Infektion hin.

    Ich würde in diesem Fall lieber den Rechner neu aufsetzen als tangelang versuchen herauszufinden, was genau los ist. Neuaufsetzen geht wahrscheinlich schneller und ist auch sicherer. Sogar wenn Du eine Lösung findest, wer garantiert, dass der Rechner nachher wirklich zu 100% sauber ist?

  • Hi,
    Schande auf mein Haupt...
    hatte ich vergessen zu schreiben :cry:
    HijackThis hatte ich natürlich vorher schon geprüft.
    Beide Versionen auch die 2002 von TrendMicro...Nix auffälliges.
    Werde aber nochmal im Hijacker Forum gucken.

  • Der Prozess wirkt harmlos, allerdings halte ich die Remote-Adressen ebenfalls für sehr verächtig.

    Es gibt keine Auszeichnung für möglichst viel freien Arbeitsspeicher!

  • Zitat von bejot

    Hi,

    Beide Versionen auch die 2002 von TrendMicro..

    Du meinst 2007, von Micro, ist nix neues, würde in dem Fall keine grossartige Aktion starten. :D

  • Wenn Du nicht gleich neu aufsetzen willst, sonderrn noch Ursachenforschung betreiben willst, kannst Du port 25 sperren und einen alternaitven smtp-server einsetzten:
    account bei google-mail anmachen, google-mail-konto auf deinem email-client einrichten. google-mail konfiguriert dabei einen eigenen smtp-server:
    smtp.googlemail.com, port 587, Verschlüsselung TLS
    Diesen auf "standard" setzten für den Versand aus anderen Konten.

    Der SMTP-Server von google wird inzwischen von allen ISP's anerkannt und zugelassen.

    "Krieg ist ein zu ernstes Geschäft, als daß man ihn den Generälen überlassen dürfte." Georges B. Clemenceau (1841-1929), Französischer Journalist und Politiker/Ministerpäsident

  • Denke mal bejot hat sein PC im Griff, diese tumme "Neuinstallationsempfehlungen" sind bei Anfänger sicherl. nicht verkehrt.

    Ursachenforschung ist dann aber sehr viel besser, da je nach Fall eine gesunde Mischung aus Sicherheitsbewustsein und Vorsicht gefördert wird, die dann weiterentwickelt werden kann.

    Ich erlebe (leider*) immer wieder User, die sich den Problemen stellen, diese dann fast locker selbst beseitigen, sich mit Backups o.Ä. befassen, danach kaum noch meine (*Hilfe) benötigen, in Sachen PC net schlecht unterwegs sind.

    Manche stürzen sich in andere Os's, was ich respektiere, (ist scho ein Stück Kopfarbeit), persönlich finde ich das Oke, fackt ist, XP-Vista ist die Zukunft, empfehle dann doch lieber das System mit guter Software (Fx) in eine geneme Situation zu bringen *g*... Ist bei Jugendlichen z.B. nicht unwichtig.

    Pest kann man niemals total auszuschliessen, bei einem gut konfiguriertem PC reduziert sich das in der Regel auf irgendwelche "tracking cookies", Bundestrojaner wäre soooo geil...

    Pests sind (leider) Anfängersache, nicht vermeidbare noch nicht in Aussicht, deshalb bitte ich, falls ihr was gutes für mich habt (PEST), an xtaste@freenet zuzusenden, DANKE!!

    So long :D

  • Schneid doch mal den Traffic mit und schau dir an, was gesendet wird.

    Zudem würde ich auch mal einen Online-Scanner in Betracht ziehen.

    Grundsätzlich ist eine Neuinstallation bei einem Malwarebefall der einzig vernünftige Weg.

  • [OT]

    Zitat von Titus

    Bundestrojaner wäre soooo geil...


    *lol* Wer den als ersten findet kommt sicher in die Zeitung.

    [/]

  • Zitat von Heaven_69

    *lol* Wer den als ersten findet kommt sicher in die Zeitung.

    Hm mir würde schon mal die IP von dem Bundestrojaner-Server / Bundestrojaner-Admins und eine News auf Heise dazu reichen. Dann wär mein Upstream (und die maximal möglichen gleichzeitigen Verbindungen) endlich mal wieder ausgelastet :)
    ->1

    Signaturen sind doof.

  • Zitat von HaMF

    Hm mir würde schon mal die IP von dem Bundestrojaner-Server / Bundestrojaner-Admins und eine News auf Heise dazu reichen.

    Endlich könnte man mal zurückschlagen...

    Geiler Screenshot.

  • Hallo,
    danke für die Anteilnahme :wink:
    Habe Smtp port auf 587 gesetzt und Port 25 gesperrt.

    Nochmals mehrere Online Scans gemacht... Kein Befund.
    Der Process Explorer von Sysinternals zeigt mir auch keinen verdächtigen Process.

    Die Kiste ist jetzt erstmal ruhig...Null unnötiger Traffic

    Ich denke so lasse ich es z.Zt. und betrachte den Thread als erledigt.

  • Was auch immer scheinbar auf dem PC von dir ist kann bloß keine Daten mehr über SMPT senden, aber es ist noch da. Vielleicht gibt es noch andere Überttragungsmöglichkeiten.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Zitat

    Was auch immer scheinbar auf dem PC von dir ist [...] aber es ist noch da.

    Doll - entweder als Rootkit oder als Task. Da nützt TCPview gar nichts.
    Aber wenn du schon hast, kennst du sicherlich die anderen Programme von denen
    und benutzt sie hoffentlich bald :roll:

    >> Habe Avast, ..., Ad-Aware, RootkitRevealer, Panda Anti-Rootkit laufen lassen.

    Die taugen allesamt nichts!
    Der Revealer ist ne Stuide, mehr nicht, der wird nicht mal erneuert.
    Spybot ist noch ok, aber letzlich traue ich keinem dieser Dinger, wenn mein
    Av-Programm schon nichts findet.
    Ist übrigens die einzige Info, die ich von dir vermisse - welche AV-Engine benutzt du?