Unerlaubter Mailversand über Norton AV & FW 2003

#1 Hallo Leutz,

ja ich weiß, wahrscheinlich bin ich jetzt der 1.000ste der das Problem anschneidet:

Seit ca 1 Woche wird unser Rechner massiv mit (angeblichen ???) Trojaner-Angriffen bombadiert. NFW 2003 meldet auch immer schön, das die Angriffe geblockt wurden. Erstaunlicherweise ist kein Muster zu erkennen, mit VirtualTracking werden die "Angreifer" rund um den Globus identifiziert.

Damit könnte man leben, wenn nicht, ja wenn nicht irgendwann versucht wird, trotz geschlossenem MailClientProgi über NAV mehere 100 EMails(teilweise bis zu 2.000 Mails) (553 You are not authorized to send Mail as<EMailaddi> authentication is required) zu verschicken. Teilweise öffnen sich in sekundenschnelle mehr als 5 dieser Tasks. Das geschieht immer nach diesen mysteriösen Angriffsversuchen.

Einmal wurde sogar die FW und das AV komplett abgeschaltet
Bei dem Portscan wird gemeldet, das die (nichtgenutzten) Ports nicht verborgen sondern offen sind. SMTP und POP3 -Ports sind auch offen. Würde sie ja gerne schließen, nur wie ??? Und funzen dann die EMailClients (Bei uns IncrediMail) noch?
Nach einem Neustart sind die Ports wiederum, wie es sollte "verborgen" *staun*
Habe es auch so bei NFW2003 eingestellt.

Greetz

DarkAsgard

#2 Poste bitte genau diese Meldung, die die FW ausspuckt.
Dann: Wann ist der Rechner zuletzt einem kompletten AV-Scan unterzogen worden ?
Die Scans auf die Ports 25, 110: Von wo aus erfolgten diese ? Vom lokalen Rechner oder war es ein Scan via Internet ?

Zitat

Einmal wurde sogar die FW und das AV komplett abgeschaltet

Hat sich einfach und "sauber" verabschiedet, oder gabs noch eine Fehlermeldung ? Passiert das auch im Zusammenhang mit dem Mailversand, bzw den Trojaner-Meldungen der FW ?
Sollte Port 25 nach außen tatsächlich sichtbar sein, so versucht möglicherweise jemand den Mailproxy, den Norton einrichtet, für seinen Spam zu missbrauchen.
Nichts desto trotz: Lade Dir mal unter
http://www.spywareinfo.com/~merijn/downloads.html HijackThis runter und poste hier das erstellte Log davon.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Hallo joschi,

zur Zeit läuft wieder bei geschlossenemE-Mail Clienten ne E-Mail-Prüfung über Norton AV
Bei einer Prüfung kam eine Msg-Box:
Ihre E-Mail konnte nicht gesendet werden, weil ihr Mail-Server die Nachricht abgelehnt hat.554 delivery error: dd This user doesn´t have a yahoo.comm account (hsman89@yahoo.com) <== kenne ich ned !! [-5]- mta219.mail.scd.yahoo.com
oder:
Ihre E-Mail konnte nicht gesendet werden, weil ihr Mail-Server die Nachricht abgelehnt hat.553 Spam or junk mail threshold exceeded. See http://www.flame.org/qmail/spamjunk.html (#5.7.1)
Die NFW meldet wohl den versuchten Angriff:
Backdoor Sub7, Standard SERV-Me, Netbus und DeepThroat kommen in den Meldungen immer wieder vor.

Kann ich denn die Ports ned manuell über Norton verstecken:
Port 21(ftp), 25 und 110 ?

Greetz

Darki

Nächtes Post das Protokoll:
Logfile of HijackThis v1.97.7
Scan saved at 17:26:15, on 4.2.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trust\Ami Mouse 250S Cordless\Amoumain.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AnalogX\Proxy\proxy.exe
C:\PROGRA~1\FlashGet\flashget.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\DarkMidhgard\Eigene Dateien\Eigene Bilder\von Darki\NortInternetSec2004\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.darkmidhgard.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\Trust\Ami Mouse 250S Cordless\Amoumain.exe
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{29185C24-4847-40C9-B0D5-2A7B1A4CFC69}: NameServer = 62.225.248.240 194.25.2.129

#4 Das Log ist nach meine Wissenstand i.O.
Zu "C:\Programme\AnalogX\Proxy\proxy.exe" Dir ist bewusst, dass der Proxy nicht im Open-Mode betrieben werdn sollte. Im Feld Proxy binding sollte die Adresse eines lokalen Interfaces angegeben sein.
Also, es ist nun zu klären: Werden die Mails von lokal gesendet, z.B über einen Wurm der - wie in letzter Zeit üblich - eine eigene SMTP engine mit sich bringt, oder ist der smtp-Proxy den Norton einrichtet von außen ansprechbar und damit nicht an ein lokales Interface (wozu auch 127.0.0.1 gehören könnte) gebunden. Beides wäre nicht von Vorteil.
Also: Was zeigt ein Scan, z.B bei www.grc.com an, wenn Du mit frisch
gestartetem System dort einen Scan machst ? Port 25 von außen ansprechbar, oder nicht ?

Auch hier mal lesen: http://board.protecus.de/t5284.htm .

Was sich über dein Norton-AV alles einstellen lässt, musst Du selbst überprüfen, ich habe das Programm selbst nicht.
__________
Durchsuchen --> Aussuchen --> Untersuchen