checkout 10 Geschrieben 31. August 2009 Melden Teilen Geschrieben 31. August 2009 Hallo liebes Forum, da ich mit meinem Latein am Ende bin, hoffe ich hier, in einem der kompetentesten Forum die ich kenne, Hilfe zu finden. Es geht um Bekannten, welcher von seinem Provider wegen Spamversand schon mehrmals abgemahnt wurde. Es handelt sich um ein kleines Netzwerk, welches via Router ins Internet geht (Speedport 500). Hinter diesem Router befinden sich 2 PC's, wobei einer als Ursache durch Abschalten ausgeschlossen werden konnte. Auf dem scheinbar verseuchten PC, liegen Daten (HW-Paket), KEN4, AVM Access Server und diverse kleinere Anwendungen. Alles sauber lizensiert. Nun zum Problem: Nach erfolgter Mahnung, wurde dieser PC nacheinander von 3 Virenscannern geprüft (Avira, Kaspersky, McAffee) . Hijackthis lieferte keinerlei Auffälligkeiten. netstat -a brachte allerdings viele "horchende" Ports ans Tageslicht. Da TCPView aussagekräftiger ist, hier mal ein Auszug aus dem Log: (siehe Anhang) Als Virenwächter läuft nun ein Avira Antivir Prof. Alle gängigen RootKit Scanner brachten mich leider auch nicht weiter. Kann mir jemand einen Tipp geben wie ich diesem Bösling zu Leibe rücke (OHNE neu aufzusetzen) ? Wäre unglaublich nett, wenn ihr mir da helfen könntet. Danke im voraus Gruss checkout Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 31. August 2009 Melden Teilen Geschrieben 31. August 2009 Hi, im System Process nläuft normalerweise alles, was im Ring 0, also im Kernel Mode läuft. Das können z.B. Treiber sein. Ein Treiber muss aber nicht zwangläufig eine Hardware-Treiber sein. ntressant wäre, was der Procmon beim Systemprocess alles so an gelandenen Dateien anzeigt. Jedenfalls scheint der Systemprocess jede Menge Verbdindungen zu SMTP-Server herzustellen. Ich tippe mal darauf, dass AVM Ken per Upnp Ports für sich freischaltet und dort einen SMTP-Server bereistellt, der falsch als Open Relay konfiguriert ist. Probiere mal von dem PC aus den Heise Portscan: heise Security - c't-Netzwerkcheck . Dann solltest Du sehe, ob der SMTP-Port zum Internet offen ist. -Zahni Zitieren Link zu diesem Kommentar
checkout 10 Geschrieben 2. September 2009 Autor Melden Teilen Geschrieben 2. September 2009 Hallo zahni vielen Dank für deine schnelle Antwort. Auf deine Anregung hin, habe ich mit AVM gesprochen. Sie nutzen zwar (und logischerweise) den Port 25, sind aber nicht für diese irrsinnige Menge geöffneten Ports zu SMTP Servern (siehe oben) verantwortlich. Auch ein Abschalten des KEN Servie brachte keine Veränderungen. Ich habe dann das SP3 nochmals installiert, da ich mittlerweile der Meinung bin/war, dass ein Kernel-Rootkits auf dem PC sein Unwesen treibt. Der Heise Portscan brachte im übrigen erstaunliches zu Tage. U.a. waren die Ports 25 und 139 von draußen offen :shock:, obwohl der vorgeschaltete Router (Speedport 500) keine Ports geöffnet hatte. Sicher wird hier das Rootkit via Upnp von Innen Tür und Tor geöffnet haben. So nun zur Lösung des Problems. Nachdem das SP3 neu installiert wurde änderte sich erstmal garnix :(. Ich glaubte nun alles neu aufsetzen zu müssen. Als die automatischen Updates nach und nach wieder auf den Rechner gepurzelt kamen und ein Neustart fällig wurde, war der Spuk vorbei. :D Scheinbar hat ein (neueres) Update die befallene Kernelkomponente erstetzt, anders kann ich mir das nicht erklären. Ports sind nun auch alle zu. Irre oder ? Was meint Ihr dazu ? Gruss checkout Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 2. September 2009 Melden Teilen Geschrieben 2. September 2009 Was meint Ihr dazu ? Rechner sofort neu installieren. Alles andere ist Bastelkram! Du weisst nicht was das Rootkit noch kaputt gemacht oder infiziert hat und obb es sich nicht doch noch ein Hintertürchen eingerichtet hat dass du nicht siehst. Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 2. September 2009 Melden Teilen Geschrieben 2. September 2009 Neben der notwendigen Neuinstallation kann man dann auch UPNP am Router ausschalten. Vorher mal Werkseinstellungen laden. UPNP hat im Unternehmen nicht verloren. -Zahni Zitieren Link zu diesem Kommentar
checkout 10 Geschrieben 2. September 2009 Autor Melden Teilen Geschrieben 2. September 2009 Rechner sofort neu installieren. Alles andere ist Bastelkram! Du weisst nicht was das Rootkit noch kaputt gemacht oder infiziert hat und obb es sich nicht doch noch ein Hintertürchen eingerichtet hat dass du nicht siehst. UFF, doch so schlimm :shock: ... insgeheim hatte ich das befürchtet. kann man dann auch UPNP am Router ausschalten. Leider wohl nicht am Speedport 500. Von der Fritzbox kenn ich das, aber leider gibts der Router wohl nicht her. Werkseinstellungen werd ich machen. Zur Sicherheit auch noch die Firmware erneuern. Trotz der eher betrüblichen Nachrichten vielen Dank für Eure Hilfe :) Gruss checkout Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.