Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Spambot im Heimnetzwerk (https://www.trojaner-board.de/86678-spambot-heimnetzwerk.html)

negroas 02.06.2010 07:53
Spambot im Heimnetzwerk
 
Hallo,

ich habe vor kurzem Post von meinem Provider bekommen, dass ich wohl Spam versende und sie mir deswegen bis auf weiteres den zugriff über Port 25 sperren.

In meinem Netzwerk befinden sich bis zu 6 Rechner (PCs + Laptops) mit Win7 Ultimate und WinXP Prof. SP3 ausgestattet. Die Betriebssysteme werden regelmäßig aktualisiert (sicherheitsupdates werden installiert). Außerdem habe ich auf allen Rechnern Kaspersky Suit 2010 installiert (mit aktuellen datenbanken). Zwischen Modem und Netzwerk hängt außerdem noch eine Stateful Inspection Routerfirewall.

Kaspersky hat keinerlei Viren/Trojaner/etc. gefunden. Der Bitdefender Onlinescanner hat auch nichts gefunden. Habe mit NMap nach verdächtigen offenen Ports gesucht mir ist aber nichts aufgefallen, auch mit wireshark konnte ich keiner verdächtigen Pakete finden. (Wie auch, wenn diese über port 25 gehen und dieser jetzt gesperrt ist).
Mit Hijackthis habe ich bisher auch keine unerwünschten programme und einstellungen entdeckt.

Hätte vielleicht nochjemand eine Idee? Wenn ich wenigstens rausbekommen würde von welchem Rechner die Spams ausgehen. Der Provider beharrt weiter darauf, dass diese auf port 25 gesendet würden.

Vielen Dank,

Gruß

negroas

markusg 08.06.2010 11:05
fangen wir mal mit dem ersten pc an.
suche dir einen aus, mit dem du mails versendest, zb über outlook oder nem andern programm.
du könntest auch mal deine firewall logs nach verdächtigen aktivitäten überprüfen und danach den pc auswählen.
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/
Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "run Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
bitte poste beide.

negroas 08.06.2010 18:02
Vielen Dank, habe mal die Dateien in den Anhang gepackt.

Die OTL.txt habe ich aufgesplittet.

markusg 08.06.2010 18:19
die otl.txt ist nicht vollständig.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55