angeblicher Malwareversand über t-online SMTP, ipcop, linux server

#1 Hallo Leute.

Habe das Board erst jetzt entdeckt, ist irgendwie auch meine letzte Hoffnung


Momentaner Zustand:

*Ipcop 1.9 mit komplett geblocktem ausgehenden Traffic, bis auf bekannte Ports (25 wird explizit geloggt).
*wlan router davor, der momentan nur als Modem + AP für einen Win7 Clienten da ist
*Debian Server
*Ubuntu Laptop
*2x WinXP Workstations
*1x Win7 Workstation
*Wlan wpa2 gecrypted + Mac filter

Netzwerk clients hängen alle hinter dem IPcop, ein win7 client an dem wlan router, auf grund mangelnder Alternativen (kein anderes dsl Modem da zur Zeit)


Folgendes ist passiert:

Vor ca. 6 Wochen bekam ich 3 Mails meines Providers t-online, bei denen ich auch mein Postfach habe. In diesen (Standard c&p) Mails stand, dass ich (oder irgendjemand über meinen Anschluss) den Zeus Trojaner verteile und mir daher der Mailversand erstmal gesperrt wurde.
Das nahm ich zum Grund, hier mal kräftig umzubauen, habe einen ipcop in einen separaten Thinclient installiert und meinen router benutze ich nur noch als Modem. Habe dort allen ausgehenden Traffic gesperrt, nur bekannte Dienste (80, 443, 21, 22, 443, das übliche) werden erlaubt. Port 25 wird rausgelassen aber protokolliert.
Aber es war nix in den Logs diesbezüglich.
Natürlich habe ich alle PCs gescannt, mit avira rescue cd und clamav. Nichts gefunden.
Mein Ubuntu Lappi ist verschlüsselt, habe also lokal mit clamav gescannt und nix gefunden
Der Debian Server (Fileserver) ist auch gecryptet, clamav findet auch hier nichts.

Ich habe also insgesamt nix gefunden. Habe - da ich den Server eh neu machen wollte - dann auch damit angefangen, das OS neu aufzusetzen etc.

Habe der telekom aber geschrieben, dass ich alles gescannt habe, einen ipcop installiert habe und die schaltete mir daraufhin den Anschluss wieder frei.

Jetzt habe ich letzten Sonntag meine Datenplatte wieder in den neu installierten Server gehängt und das Raid gesynct. Heute bekomme ich wieder eine Mail von t-online.
Erneuter Zeus versand Sonntag Abend.
Zu diesem Zeitpunkt habe ich das Raid gesynct, die Kiste hing am Internet. Aber der Ipcop hat NICHTS geloggt, was Port25 angeht.

Was könnte ich jetzt machen? Der Verdacht liegt ja nahe, dass Zeus irgendwo auf der Datenplatte ist.
Ist es überhaupt möglich, dass ein Windows Trojaner unter einer *nix Umgebung Mails verschickt?

Ich werde mit absoluter Sicherheit nicht meine Datenpartition einfach so platten machen, das sind 1TB wichtige Daten und falls die tatsächlich kompromittiert sind, weiß ich auch nicht, ab wann meine Backups im Arsc*** sind

Gibt es Scanner, die mit Zeus besser umgehen können, oder kann ich hier besser analysieren?

Ich danke für eure Antworten

#2 Zeus ist Windowsmalware, das bedeutet einer deiner Windowsclients ist wohl infiziert. Recht gute ERkennung von Zeus Bots haben Malwarebytes und Combofix. Frage ist, ob du nicht lieber gleich die PCs neu aufsetzen solltest.
__________
MfG Ralf
SEO-Spam Hunter

#3 Okay.

Dann frage ich mich, wie Zeus da drauf gekommen sein könnte. Alle haben aktuelle Antivir software + sind patchtechnisch up to date.

Und wie gesagt, ich wundere mich, weil t-online sagt, es sei Sonntag Abend gewesen, diesen Sonntag Abend war aber NUR der Debian Server an.

Und wenn hier etwas tatsächlich rausginge, so würde die Firewall das doch protokollieren, oder nicht? Oder tunnelt Zeus das irgendwie über Port 80, oder was weiß ich? Irgendwie muss es ja bei den Mailservern von T-online ankommen.

Schöne Grüße

#4 Die Macher von Malware sind keine Idioten. Die bekommen das schon hin, das Malware mehrere Wochen unerkannt bleibt. Da hilft dir auch keine Firewall oder AV Programm. SMTP muss auch nicht zwangslaeufig ueber Port 25 laufen.

Wenn wider erwartend keiner deiner Windowsrechner Online war, solltest du dein Wlan doch nochmal genauer pruefen, bzw dein WPA2 Passwort aendern.
__________
MfG Ralf
SEO-Spam Hunter

#5 Habe seit der ersten Meldung alle PWs geändert und im Moment darf eine einzige Mac Adresse ins Wlan.

Selbstverständlich sind das keine Idioten Aber wie ich das so rausgelesen habe ist Zeus ja schon älter, und wenn es die Telekom entdecken kann, wäre es doch hier auch möglich, oder?

Das Problem ist einfach, dass die liebe telekom mit ihren Standard Mails um sich wirft, aber keine genaueren Infos rausgibt

#6 Dann kontrolliere die einzelnen Windowsrechner. Im Zweifelsfalle eroeffne fuer jeden ein eigenes Thema mit folgenden Infos:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#7 Habe sie kontrolliert, werde die Logs/Infos hier reinstellen.

#8 Soll ich für jeden PC n eigenen Thread machen? scheint mir jetzt etwas unübersichtlich.

Werde hier erstmal die Logs von dem Win7 PC reinstellen, falls wirklich gesonderte Threads erwünscht sind, erstelle ich da natürlich )

1) Problembeschreibung steht oben.. es handelt sich hier um den Win7 PC, der per WLAN angebunden ist und sich leider noch VOR dem IPcop befindet, also direkt (über den router) ins Internet geht.
Win7 ist auf dem aktuellen Patch stand, ich benutze ausschließlich Firefox (ebenfalls up to date). Es handelt sich hierbei um meinen Spiele Rechner, heißt also Steam ist an, rockstar social club, aktuelles avira antivir ist auch drauf.

2) done

3)
Malwarebytes quick scan (selbes ergebnis auch im deeper scan)

Code

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3927
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29.03.2010 17:33:06
mbam-log-2010-03-29 (17-33-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 99452
Laufzeit: 2 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

GMER kann nicht auf c:\Windows\system32\config\system zugreifen (da angeblich nicht gefunden), habe dann nochmal auf scan gedrückt.

Nach dem Scan sagte GMER, dass es keine Veränderungen gefunden habe.

HJT:

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:40:20, on 29.03.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Java\jre6\bin\jusched.exe
C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files (x86)\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Steam] "c:\program files (x86)\steam\steam.exe" -silent
O4 - HKCU\..\Run: [RGSC] C:\Program Files (x86)\Steam\steamapps\common\grand theft auto iv\RGSC\RGSCLauncher.exe /silent
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [osk.exe] osk.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [osk.exe] osk.exe (User 'Default user')
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O13 - Gopher Prefix: 
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1255780397360
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEB0C9E0-C211-4D48-8419-189A25BEC9E0}: NameServer = 192.168.0.2,192.168.1.1
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 6769 bytes

Uninstall Liste

Code

Adobe Flash Player 10 Plugin
Avira AntiVir Personal - Free Antivirus
Battlefield 1942
Counter-Strike
Counter-Strike Source DZ
Counter-Strike: Source
Fallout 3
Foxit Reader
Grand Theft Auto IV
HijackThis 2.0.2
Java(TM) 6 Update 17
Malwarebytes' Anti-Malware
Maxima 5.19.2
Microsoft Age of Empires II
Microsoft Age of Empires II: The Conquerors Expansion
Microsoft Games for Windows - LIVE 
Microsoft Games for Windows - LIVE Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Mozilla Firefox (3.5.4)
NVIDIA PhysX
NVIDIA Stereoscopic 3D Driver
Panda ActiveScan 2.0
StarCraft II Beta
Steam
Steamless Left4Dead2 Pack
Unreal Tournament 3
VirtualCloneDrive
VLC media player 1.0.2
Warhammer 40,000: Dawn of War II

Die anderen Logs stelle ich auch noch hier rein.