Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Probleme beim Bereinigen von Spam-Schleuder

Frage Sicherheit Viren und Trojaner

Mitglied: coltseavers

coltseavers (Level 2) - Jetzt verbinden

28.04.2013, aktualisiert 11:03 Uhr, 2595 Aufrufe, 5 Kommentare

Hallo zusammen,

ich bin etwas ratlos bei einem anscheinend infizierten Rechner:

Der betroffene XP-Rechner hat einen Thunderbird Mailclient mit einem E-Mail-Konto.
Ist der Rechner mit dem WAN verbunden, treffen im Abstand weniger Minuten bei dem eingerichteten Konto Mail-Delivery-Mails ein. Als Absender der ursprünglichen Mail ist auch die Mail-Adresse des Kontos eingetragen.
Von daher scheint es so, als würd der Rechner Spam versenden, von dem einige Empfänger offenbar nicht mehr exisiteren.
In dem Zeitraum, wo der Rechner offline ist, treffen solche Mails nicht in der Mailbox ein.
Das ist also ein Indiz dafür, dass die Mails wirklich von dem Rechner selbst aus versendet werden.

Deshalb gehe ich derzeit davon aus, dass der Rechner eine Spamschleuder ist.

Nach einem Virenscan mit AVG (der 2-3 Funde hatte und bereinigen konnte), ist das System laut AVG nun frei von Viren - dennoch hält die Spam-Problematik weiterhin an.
In der Prozessliste konnte ich jedoch keine ungewöhnlichen Prozesse finden.

Ich bin dann mal hergegangen und habe den Netzwerkverkehr zwischen Rechner und WAN mit Wireshark gesnifft.
Dort konnte ich allerdings keinen Traffic auf Port 25 oder 465 feststellen.
Deshalb bin ich nun sehr verwirrt, wie die Spam-Mails überhaupt von dem Rechner versendet werden könnten.

Hat jemand Erfahrung damit sowas aufzuspüren?
Wie könnten die Mails versendet werden, wenn nicht über Port 25 oder 465?

Vielen Dank vorab!
Mitglied: orcape
28.04.2013 um 11:20 Uhr
Hi,

Ich bin dann mal hergegangen und habe den Netzwerkverkehr zwischen Rechner und WAN mit Wireshark gesnifft.
Dort konnte ich allerdings keinen Traffic auf Port 25 oder 465 feststellen.
Bei mir läuft smtp über Port 587...
Die Einstellungen sollten aber im Thunderbird Mailclient ersichtlich sein.

Gruß orcape
Bitte warten ..
Mitglied: Bammel
28.04.2013 um 11:39 Uhr
Hi,

bau die Festplatte mal aus und lass sie als externe FP durch einen Virenscanner laufen. So gehst Du zumindest sicher, dass Dein BS nicht direkt darauf zugreift und Dateien in "Beschlag" nimmt. Bei mir hat es oft geholfen, wenn die Virenscanner in der vom BS mit hochgefahrenen FP keine oder nur wenige Viren gefunden haben.

Thomas
Bitte warten ..
Mitglied: nEmEsIs
28.04.2013 um 12:08 Uhr
Hi

alternative jeder Antivirenhersteller hat Boot CD´s. Damit kannst du es auch probieren.

MfG Nemesis
Bitte warten ..
Mitglied: iDiddi
28.04.2013 um 13:22 Uhr
Wenn ein Rechner erst mal infiziert ist, kannst Du den installierten AV-Produkten nicht mehr vertrauen. Sogenannte Rootkits verbergen sich vor den Windows-Prozessen und auch vor den AV-Scannern, indem sie ihnen eine heile Welt vorgaukeln. Lade Dir von einem 2. Computer eine der zahlreichen, verschiedenen Antiviren-Boot-CDs mit Rootkit-Erkennung, brenne diese und boote deinen infizierten Rechner damit. Probiere am besten mehrere CDs von verschiedenen Herstellern aus. Achte darauf, dass die Signaturen aktuell sind.

Nichts ist älter als die Virendefinitionsdatei von gestern
Bitte warten ..
Mitglied: Dobby
28.04.2013 um 14:55 Uhr
Hallo,

1.
Dann mal schnell ab zum nächsten Kiosk und/oder Tanke und eine c´t kaufen in der ist gerade das neue
desinfec´t 2013 enthalten!! Da laufen dann drei oder vier Antivirenscanner über die Platte und Du hast
ein bisschen mehr an Sicherheit!

2.
In dem Zeitraum, wo der Rechner offline ist, treffen solche Mails nicht in der Mailbox ein.
Klar wie denn auch wenn der PC offline ist kann er ja auch nicht sein Postfach leeren!

Das ist also ein Indiz dafür, dass die Mails wirklich von dem Rechner selbst aus versendet werden.
unter Umständen schon aber ich denke man sollte den Email Account schnell Umstellen!!!!
- Anderes Passwort (sehr lang und alphanumerisch)
- Anderer Name (Email)
- Nur noch über sichere Ports die Email versenden und abholen!
- Einen gescheiten Antivirus holen der alle 60 Minuten die Signaturen erneuert!
- Java, Flash und Co so wie das gesamte OS und die Anwendungen via Updates auf den neuesten Stand bringen

3.
Deshalb bin ich nun sehr verwirrt, wie die Spam-Mails überhaupt von dem Rechner versendet werden könnten.
Mal daran gedacht das jemand die Daten von Eurem Email Account hat und nun Spam versendet?
Und die Meldungen über eine Unzustellbarkeit landen bei Euch!

Oder jemand der Spam versendet von Irgend wo in der Welt und Eure Email Adresse als Absender eingegeben hat ergo spoofed eventuell?

4.
- Viren scann von Boot CD
- Daten im Mail Account ändern und Antivirus beim Provider auch aktivieren und einstellen wenn geboten
- Daten sichern (neue Sicherung bitte nicht die eventuell alte und verseuchte nehmen!!!!!!!!!!!!)
Bei So etwas immer die Daten sichern die einem lieb und teuer sind und dann den PC neu aufsetzen
- Einen aktuellen Antivirus, vielleicht auch einen den man bezahlen muss! 30 € für 3 PCs pro Jahr

Viel Erfolg

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange Edge 2013 Spam Schleuder
Frage von gt1988tgExchange Server6 Kommentare

Guten Tag liebe Community, ein Neukunde hat 2 Exchange 2013 Server. Einer davon steht in einer DMZ als Edge ...

Windows Systemdateien
Registry bereinigen
gelöst Frage von AnkhMorporkWindows Systemdateien35 Kommentare

Hallo zuasmmen, wir habe hier eine kleine Glaubensdebatte. Es wird behauptet: Durch Export und anschl. Re-Import der Registry werden ...

Windows 7
System bereinigen?
Frage von hanheikWindows 77 Kommentare

Kennt ihr das? Die Festplattenleuchte ist eigentlich permanent an, Menüs werden langsam aufgeklappt, alle Aktionen gehen nur im Schneckentempo, ...

Batch & Shell
Logdateien bereinigen mit sed
gelöst Frage von cuilsterBatch & Shell12 Kommentare

Hallo. Ich versuche log Dateien mittels sed Befehl zu bereinigen. Ziel ist es erstmal alle Zeilen zu löschen in ...

Neue Wissensbeiträge
Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 StundeHumor (lol)2 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 17 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 17 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 19 StundenAdministrator.de Feedback10 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...