Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: trojaner-backdoor versendet mails über svchost / winlogon

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.06.2008, 15:27   #1
m.heimberg
 
trojaner-backdoor versendet mails über svchost / winlogon - Standard

trojaner-backdoor versendet mails über svchost / winlogon



trojaner-backdoor versendet mails über svchost / winlogon

Hallo Zusammen

Ich bin neu hier und muss als erstes mal sagen: Ich find euch tool.
Eine solch gute Unterstützung im Internet gegen Trojaner/Viren usw. gibt es selten. HUT AB...

Hier mein Problem:

Ich betreibe einen MS 2k3 Server Enterprise in einem Geschäft.
Es läuft Exchange, WSUS, DNS, DHCP, usw...
Virenschutz: TrendMicro ClientServer Messaging Security
Alles Update von Microsoft und co sind auf dem Neusten Stand.

Es gibt auf diesem Server einen Trojaner/Backdoor der von diesem Server aus E-Mails versendet. Der Server ist Relay sicher somit ist dieser Wurm auf diesem Server.

Folgendes Festgestellt:

mit netstat-b sehe ich das die Services svchost.exe und winlogon.exe SMTP Verbindungen aufbauen und er E-Mail versendet.(siehe unten)

Bei der Firewall habe ich den SMTP verkehr blockiert und das log gespeichert.
(siehe unten)

Ich habe folgende Scanner schon durchlaufen lassen. Und das ding ist immernoch drauf.. ;-(

adware 2008
spybot search und destroy

antivir temoval tool
a-squared Anti malware 3.5
escan toolkit 9.8
f-secure blacklight rootkit detection
hijackthis
stinger
trend micro houasecall (übers web)
panda active scan (übers web)

Nun weis ich nicht mehr weiter. Ich hoffe mir kann jemand helfen.
Da diese Firma momentan keine E Mails versenden kann.

siehe folgende Logfiles.....

-------------------------------------------------------------

Logfile: netstat-b


TCP servername:1241 server.domain.lan:ldap HERGESTELLT 43
84
[mad.exe]

TCP servername:1242 server.domain.lan:ldap HERGESTELLT 43
84
[mad.exe]

TCP servername:1244 server.domain.lan:ldap HERGESTELLT 43
84
[mad.exe]

TCP servername:1245 server.domain.lan:ldap HERGESTELLT 43
84
[mad.exe]

TCP servername:1246 server.domain.lan:ldap HERGESTELLT 43
84
[mad.exe]

TCP servername:1247 server.domain.lan:ldap HERGESTELLT 43
84
[mad.exe]

TCP servername:1250 server.domain.lan:ldap HERGESTELLT 43
84
[mad.exe]

TCP servername:1251 server.domain.lan:ldap HERGESTELLT 43
84
[mad.exe]

TCP servername:1252 server.domain.lan:3268 HERGESTELLT 43
84
[mad.exe]

TCP servername:1253 server.domain.lan:3268 HERGESTELLT 43
84
[mad.exe]

TCP servername:1261 server.domain.lan:3268 HERGESTELLT 51
68
[wmiprvse.exe]

TCP servername:1262 server.domain.lan:ldap HERGESTELLT 51
68
[wmiprvse.exe]

TCP servername:1263 server.domain.lan:691 HERGESTELLT 516
8
[wmiprvse.exe]

TCP servername:1266 server.domain.lan:3268 HERGESTELLT 51
76
[store.exe]

TCP servername:1267 server.domain.lan:ldap HERGESTELLT 51
76
[store.exe]

TCP servername:1268 server.domain.lan:ldap HERGESTELLT 51
76
[store.exe]

TCP servername:1269 server.domain.lan:ldap HERGESTELLT 51
76
[store.exe]

TCP servername:1272 server.domain.lan:691 HERGESTELLT 517
6
[store.exe]

TCP servername:1275 server.domain.lan:3268 HERGESTELLT 52
84
[emsmta.exe]

TCP servername:1276 server.domain.lan:ldap HERGESTELLT 52
84
[emsmta.exe]

TCP servername:1277 server.domain.lan:691 HERGESTELLT 528
4
[emsmta.exe]

TCP servername:1278 server.domain.lan:1367 HERGESTELLT 52
84
[emsmta.exe]

TCP servername:1297 server.domain.lan:ldap HERGESTELLT 51
76
[store.exe]

TCP servername:1305 server.domain.lan:1025 HERGESTELLT 61
20
[events.exe]

TCP servername:1313 server.domain.lan:1025 HERGESTELLT 17
56
[EUQMonitor.exe]

TCP servername:1318 server.domain.lan:1025 HERGESTELLT 43
84
[mad.exe]

TCP servername:1333 server.domain.lan:10019 HERGESTELLT 1
972
[java.exe]

TCP servername:1334 server.domain.lan:10019 HERGESTELLT 1
972
[java.exe]

TCP servername:1344 server.domain.lan:ldap HERGESTELLT 51
68
[wmiprvse.exe]

TCP servername:1345 server.domain.lan:ldap HERGESTELLT 51
68
[wmiprvse.exe]

TCP servername:1365 server.domain.lan:epmap HERGESTELLT 5
168
[wmiprvse.exe]

TCP servername:1367 server.domain.lan:1278 HERGESTELLT 51
68
[wmiprvse.exe]

TCP servername:1372 server.domain.lan:1189 HERGESTELLT 51
68
[wmiprvse.exe]

TCP servername:1541 server.domain.lan:1900 HERGESTELLT 19
72
[java.exe]

TCP servername:1652 fk-in-f147.google.com:http HERGESTELLT 2176

[iexplore.exe]

TCP servername:1682 fx-in-f166.google.com:http HERGESTELLT 2176

384
[mad.exe]

TCP servername:1736 62.32.97.14:http HERGESTELLT 2176
[iexplore.exe]

TCP servername:1747 CLYDESDALE.umsl.edu:smtp HERGESTELLT 840
[svchost.exe]

TCP servername:1757 130.218.102.215:smtp HERGESTELLT 840
[svchost.exe]

TCP servername:1763 67.66.218.79:smtp HERGESTELLT 840
[svchost.exe]

TCP servername:1765 fg-in-f127.google.com:http HERGESTELLT 2176

[iexplore.exe]

TCP servername:1770 77.67.3.155:http HERGESTELLT 2176
[iexplore.exe]

TCP servername:1771 mailhost5.baylorhealth.edu:smtp HERGESTELLT
840
[svchost.exe]

TCP servername:1772 mail.toyota-europe.com:smtp HERGESTELLT 840

[svchost.exe]

TCP servername:1773 62.32.97.14:http HERGESTELLT 2176
[iexplore.exe]

TCP servername:1775 212.222.52.21:http HERGESTELLT 2176
[iexplore.exe]

TCP servername:1776 213.254.212.70:http HERGESTELLT 2176
[iexplore.exe]

TCP servername:1777 213.254.212.70:http HERGESTELLT 2176
[iexplore.exe]

TCP servername:1779 guardian2.sph.harvard.edu:smtp HERGESTELLT
840
[svchost.exe]

TCP servername:1780 c17-dw-xw-lb.cnet.com:http HERGESTELLT 2176

[iexplore.exe]

TCP servername:1900 server.domain.lan:1541 HERGESTELLT 27
84
[tnameserv.exe]

TCP servername:1900 server.domain.lan:1167 HERGESTELLT 27
84
[tnameserv.exe]

TCP servername:3268 server.domain.lan:1261 HERGESTELLT 59
6
[lsass.exe]

TCP servername:3268 server.domain.lan:1209 HERGESTELLT 59
6
[lsass.exe]

TCP servername:3268 server.domain.lan:1275 HERGESTELLT 59
6
[lsass.exe]

TCP servername:3268 server.domain.lan:1253 HERGESTELLT 59
6
[lsass.exe]

TCP servername:3268 server.domain.lan:1252 HERGESTELLT 59
6
[lsass.exe]

TCP servername:3268 server.domain.lan:1266 HERGESTELLT 59
6
[lsass.exe]

TCP servername:10019 server.domain.lan:1334 HERGESTELLT 19
92
[sqlservr.exe]

TCP servername:10019 server.domain.lan:1333 HERGESTELLT 19
92
[sqlservr.exe]

TCP servername:1753 212.222.52.21:http SCHLIESSEND 2176
[iexplore.exe]

TCP servername:1669 212.162.62.43:http ZULETZT_ACK 2176
[iexplore.exe]

TCP servername:1670 212.162.62.43:http ZULETZT_ACK 2176
[iexplore.exe]

TCP servername:1752 212.222.52.21:http ZULETZT_ACK 2176
[iexplore.exe]

TCP servername:1754 212.222.52.21:http ZULETZT_ACK 2176
[iexplore.exe]

TCP servername:1774 mail2.wesleyan.edu:smtp ZULETZT_ACK 840
[svchost.exe]

TCP servernameptp server.domain.lan:microsoft-ds WARTEND
0
TCP servername:1655 server.domain.lan:epmap WARTEND 0

TCP servername:1677 droideka.esc-clermont.fr:smtp WARTEND 0

TCP servername:1688 cluster-e.mailcontrol.com:smtp WARTEND
0
TCP servername:1720 195.53.123.21:smtp WARTEND 0
TCP servername:1724 server.domain.lan:netbios-ssn WARTEND
0
TCP servername:1725 server.domain.lan:ldap WARTEND 0
TCP servername:1729 phidani-gw.xdsl.easynet.be:smtp WARTEND
0
TCP servername:1731 thepunk.it.northwestern.edu:smtp WARTEND
0
TCP servername:1732 212.162.62.34:http WARTEND 0
TCP servername:1737 195.189.236.30:http WARTEND 0
TCP servername:1745 lists.fas.harvard.edu:smtp WARTEND 0
TCP servername:1748 mx6.syr.edu:smtp WARTEND 0
TCP servername:1751 mx4.syr.edu:smtp WARTEND 0
TCP servername:1755 mx3.syr.edu:smtp WARTEND 0
TCP servername:1756 mx2.syr.edu:smtp WARTEND 0
TCP servername:1758 63.197.102.12:smtp WARTEND 0
TCP servername:1759 mx1.syr.edu:smtp WARTEND 0
TCP servername:1760 gse-mta-03-rx.emailfiltering.com:smtp WARTEND
0
TCP servername:1761 thepunk.it.northwestern.edu:smtp WARTEND
0
TCP servername:1762 fsmtc-mx1.mail.fm:smtp WARTEND 0
TCP servername:1764 128.125.253.79:smtp WARTEND 0
TCP servername:1768 fg-in-f27.google.com:smtp WARTEND 0
TCP servername:1769 mailhost4.bhcs.com:smtp WARTEND 0

C:\Dokumente und Einstellungen\Administrator>



-------------------------------------------------------------


Logfile: Hijackthis




Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 02.06.2008, 15:34   #2
raman
 
trojaner-backdoor versendet mails über svchost / winlogon - Standard

trojaner-backdoor versendet mails über svchost / winlogon



Bei einem Firmenrechner, besonders, da es sich hier um einen Server handelt, wuerde ich keine Risiken eingehen und den Rechner neu aufsetzen, bzw Backup einspielen. Interessant waere zu erfahren, wie dieser Wurm/Backdoor auf den Server gelangen konnte. Ein Server sollte nur ein Server sein und kein "verkappter" Client/Workstation.....
__________________

__________________

Alt 02.06.2008, 15:46   #3
m.heimberg
 
trojaner-backdoor versendet mails über svchost / winlogon - Standard

trojaner-backdoor versendet mails über svchost / winlogon



Hallo raman

Ja, ich gebe dir 100% Recht.
Dieser jetztige Server ist ca 2 1/2 jährig und wird in 2 Wochen ersetzt durch einen neuen Server HP ML350. Ich muss nun noch schauen dass er die nächsten 2 Wochen über die Rundne kommt.

Weisst du eine Lösung?
__________________

Alt 02.06.2008, 15:57   #4
raman
 
trojaner-backdoor versendet mails über svchost / winlogon - Standard

trojaner-backdoor versendet mails über svchost / winlogon



Ich kenne leider fuer diesen Fall keine brauchbare Loesung, ausser den Server vom Netz zu nehmen!

Da Acronis TI auf dem Server laeuft, koenntest du ein sauberes Backup fahren, nachdem du eine Datensicherung des jetzigen Zustandes gemacht und entsprechend vorher Daten gesichert hast, die nach dem letzten Backup geaendert wurden.

Das 2. Problem welches ich sehe ist, wurde etwas von dem Backdoor an Informationen nach aussen gegeben, wenn ja was und welche Gegenmassnahmen sind da zu treffen, aber ich weiss nicht, was das Firmenkonzept in dieser Situation vorsieht, sofern es denn eines gibt.

In diesem Zustand wuerde ich ihn nicht wieder ans Netz lassen...

Es tut mir Leid, dir nichts anderes anbieten zu koennen....
__________________
MfG Ralf

Alt 02.06.2008, 20:11   #5
m.heimberg
 
trojaner-backdoor versendet mails über svchost / winlogon - Standard

trojaner-backdoor versendet mails über svchost / winlogon



hallo raman

der server kann momentan gar keine mails mehr versenden. der smtp verkehr ist komplett geblockt.

ich habe mit der firma folgendes konzept.

1. neuer server (hardware+installation konfiguration)
2. 4 neue arbeitsstationen werden ersetzt.
3. bestehende arbeitsstationen werden vom netz genommen und komplett gesäubert.


was dänkst du, wie sieht du das eigentlich mit einer wieder versäuchung des neuen server. wir haben auf unseren domänen sehr viel spam. aus diesem grund haben wir auch bei einem speziellen provider einen spamserver dazwischen gehängt.

ich hatte noch nie in meinem ganzen edv jahren ein solches trjoaner problem.

empfielst du mir noch irgendetwas?

danke und gruss


Alt 02.06.2008, 20:36   #6
MightyMarc
 
trojaner-backdoor versendet mails über svchost / winlogon - Standard

trojaner-backdoor versendet mails über svchost / winlogon



Als erstes solltet Ihr klären, was Ihr Euch eingefangen habt und woher es kommt. Ansonsten setzt Ihr Server und Workstations neu auf und habt vielleicht wieder das Problem.

Wie raman bereits anmerkte wird wohl ein sauberes Backup noch am ehesten was bringen. Wenn Du den Server runterfahren kannst (nach Feierabend?) könntest Du auch mal mit einer Linux Live CD (Knoppicillin o.ä.) einen Scan machen.

%ComSpec%
__________________
--> trojaner-backdoor versendet mails über svchost / winlogon

Antwort

Themen zu trojaner-backdoor versendet mails über svchost / winlogon
administrator, anti malware, blockiert, dns, e-mails, einstellungen, festgestellt, firewall, fsm, iexplore.exe, internet, logon.exe, lsass.exe, mails versenden, malware, microsoft, microsoft-ds, neu, problem, rootkit, scan, schutz, server, smtp, svchost, svchost.exe, tcp, versendet mails, winlogon, winlogon.exe, wurm



Ähnliche Themen: trojaner-backdoor versendet mails über svchost / winlogon


  1. Schadsoftware versendet E-Mails
    Plagegeister aller Art und deren Bekämpfung - 15.11.2015 (27)
  2. PC versendet Spam Mails
    Log-Analyse und Auswertung - 05.11.2015 (9)
  3. Zmutzy.157 versendet E-Mails über Outlook - wie kann ich das stoppen?
    Log-Analyse und Auswertung - 29.10.2015 (1)
  4. Email Adresse versendet Spam (über 4000 Mails) trotz Passwortänderung/Formatierung/Systemwechsel an Kontakte und Fremde (kein Spoofing)
    Plagegeister aller Art und deren Bekämpfung - 01.10.2015 (9)
  5. WIN 7 pro: PC versendet eigenständig mails
    Plagegeister aller Art und deren Bekämpfung - 25.09.2015 (3)
  6. Spam-mails über T-online Acc versendet
    Überwachung, Datenschutz und Spam - 14.04.2014 (3)
  7. Spam Mails - Mail delivery failed obwohl ich keine E-Mails versendet habe
    Plagegeister aller Art und deren Bekämpfung - 16.06.2013 (11)
  8. Trojaner? Yahoo-Mail versendet automatisch Spam Mails
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (11)
  9. GMX-Account versendet Mails; Trojaner Fake-Alert
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (1)
  10. Trojaner? Mails werden automatisch von Outlook versendet
    Plagegeister aller Art und deren Bekämpfung - 03.07.2012 (3)
  11. web.de versendet selbständig Mails; evt. Trojaner eingefangen?
    Log-Analyse und Auswertung - 07.09.2011 (10)
  12. Trojaner? Yahoo versendet Spam-Mails
    Log-Analyse und Auswertung - 06.04.2011 (11)
  13. Rechner versendet E-mails
    Log-Analyse und Auswertung - 13.02.2011 (13)
  14. ICQ-Trojaner versendet Spamnachrichten über meinen Acc auf russisch
    Log-Analyse und Auswertung - 13.01.2010 (0)
  15. Trojaner der Mails versendet auf Workstation oder Server! HILFE!
    Plagegeister aller Art und deren Bekämpfung - 09.08.2009 (2)
  16. svchost.exe, explorer.exe und winlogon reg key
    Plagegeister aller Art und deren Bekämpfung - 31.08.2007 (15)
  17. Winlogon verschickt Mails!
    Plagegeister aller Art und deren Bekämpfung - 30.12.2005 (4)

Zum Thema trojaner-backdoor versendet mails über svchost / winlogon - trojaner-backdoor versendet mails über svchost / winlogon Hallo Zusammen Ich bin neu hier und muss als erstes mal sagen: Ich find euch tool. Eine solch gute Unterstützung im Internet gegen - trojaner-backdoor versendet mails über svchost / winlogon...
Archiv
Du betrachtest: trojaner-backdoor versendet mails über svchost / winlogon auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.