ComputerBase Menü
Aktuelles

Angeblicher Virusversand; Mail von abuse@t-online.de

D

deadball

Cadet 4th Year
Registriert
Juli 2007
Beiträge
65
Hey leute. Abstruse Geschichte:

Habe bereits 2 Mails vom "Deutsche Telekom Abuse Team Harald Stein" erhalten, die header IPs gehören laut whois tatsächlich zur Telekom, Harald Stein habe ich nicht gefunden ;)

Nach einiger Recherche im Netz heißt es, die Mail sei echt. Habe übers Webinterface nun eine Mail an abuse@t-online.de geschrieben, dass sie sich bitte bei mir melden sollen (meine Tel. Nr. sollten sie haben), oder verifizieren, dass es sich nicht um Spam handelt (z.B. durch einen Namen).
Interessant ist, dass meine Kundennr. stimmt.
Hier jedenfalls die Mail:
Code: 
Weitere Hinweise wegen Virenversand!

Sehr geehrte Telekom Kundin,
sehr geehrter Telekom Kunde,

noch immer wird über Ihren Anschluss Schadcode, wie zum Beispiel Viren
oder Würmer, versendet. Bitte lesen Sie diese E-Mail zur Vermeidung von
weiterem Missbrauch aufmerksam durch:

Als Internet - Anbieter mit hohen Qualitätsansprüchen ist Sicherheit
unserer Dienste ein wichtiger Bestandteil, um viele Gefahren aus dem
Internet von Ihrem Computer bereits vorab fernzuhalten. Dennoch ist es
uns ohne Ihr umsichtige Nutzung leider nicht möglich, Ihren Computer
generell vor schadhaften Code aus dem Internet, wie beispielsweise
Würmer, Viren und Trojaner zu beschützen.

Bei der Prüfung weiterer Hinweise, haben wir Kenntnis erhalten, dass
über Ihre genutzte Kennung (T-Online Account - Kundenkonto) immer noch
E-Mails mit schadhaftem Code versendet wurden

Wir bitten Sie daher dringend, Ihren Computer auf eine Infektion durch
Schadsoftware zu prüfen und diese zu beheben. 

Beachten Sie in dem Zusammenhang bitte, dass die Versendung von
Schadcode eine Verletzung vertraglicher Pflichten gemäß unserer
Allgemeinen Geschäftsbedingungen (AGB) darstellt. Wir müssen Sie daher
auffordern, unsere Internetdienste in Zukunft im Einklang mit unseren
Allgemeinen Geschäftsbedingungen zu nutzen. Sollten wir weitere Hinweise
auf die missbräuchliche Nutzung unserer Dienste erhalten, so kann dies
zur weiteren Schadensabwehr notfalls erfordern, die Nutzung dieser
Dienste einzuschränken.

Weiterführende Informationen:

Wie werten wir die gesendeten Hinweise aus?

Der Hinweisgeber sendet uns typischerweise eine Information, die einen
E-Mail-Header (Kopfzeilen) oder vergleichbare Daten beinhaltet. In
diesen Daten ist eine IP-Adresse mit Datum und Uhrzeit inklusive
Zeitzone enthalten. Diese Daten haben wir ausgewertet und auf der Basis
Ihren Account (Kundenkonto) als Verursacher ermittelt.

Wie kann Schadsoftware auf Ihren Computer gelangen?

Schadhafter Code kann sich zum Beispiel beim Öffnen von manipulierten
E-Mail-Anhängen auf dem Computer installieren. Dies geschieht in der
Regel unbemerkt. Neuere Viren können sogar installierte Virenscanner
deaktivieren beziehungsweise deren Funktionalität einschränken.

Ferner können sich auch Rootkits oder Malware auf Ihrem Computer
befinden, die die Versendung von schadhaftem Code über die von Ihrem
Computer genutzte Kennung steuern.

Welche Möglichkeiten gibt es, die Infektion auf Ihrem Computer zu
beheben?

Einen grundlegenden Schutz bietet der Einsatz eines aktuellen
Virenscanners auf Ihrem Computer, der eingehende Daten auf schadhaften
Code untersucht.

Falls Sie keinen Virenscanner haben, empfehlen wir Ihnen die
Virenschutz-Software Norton 360 Version 3.0:
http://service.t-online.de/c/20/21/75/2021758.html
Für eine erste Diagnose können Sie auch unseren Online-Virenscanner
unter http://www.t-online.de/sicherheitscheck nutzen. 

Alternativ können Sie zum Beispiel auch die Online-Services folgender
Anbietern zur Untersuchung Ihres Computers verwenden: www.bitdefender.de
oder www.panda-software.de

Diese bieten keinen dauerhaften Schutz vor schadhaftem Code, sondern
sind nur zum Erkennen des schadhaften Codes auf Ihrem Computer
vorgesehen. (Bitte beachten Sie, dass die Deutsche Telekom für den
Inhalt externer Webseiten nicht verantwortlich ist.)

Ist eine Fehlkonfiguration der Grund, so muss der PC und die verwendeten
Applikationen umgehend neu konfiguriert werden. Hinweise hierzu erhalten
Sie in der Bedienungsanleitung der einzelnen Komponenten oder direkt
beim jeweiligen Hersteller.

Weitere Hilfestellung erhalten Sie im angehängten "Merkblatt
Sicherheit".

Mit freundlichen Grüßen
Ihr Abuse-Team
http://www.t-online.de/abuse

Products & Innovation
Deutsche Telekom AG
T-Online-Allee 1
D-64295 Darmstadt
E-Mail abuse@t-online.de
http://www.telekom.de

Aufsichtsrat: Prof. Dr. Ulrich Lehner (Vorsitzender)
Vorstand: René Obermann (Vorsitzender), Hamid Akhavan, Dr. Manfred Balz,
Reinhard Clemens, Niek Jan van Damme, Timotheus Höttges, Guido Kerkhoff,
Thomas Sattelberger 
Handelsregister: Amtsgericht Bonn HRB 6794, Sitz der Gesellschaft: Bonn
USt.-IdNr. DE 123475223

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die
unbefugte Weitergabe dieser E-Mail und der darin enthaltenen
Informationen sind nicht gestattet.

This e-mail may contain confidential and/or privileged information. If
you are not the intended recipient (or have received this e-mail in
error) please notify the sender immediately and delete this e-mail. Any
unauthorized copying, disclosure or distribution of the material
in this e-mail is strictly forbidden.

Hinweis:
Bei weiteren Schriftwechseln übernehmen Sie für die zügige Bearbeitung
bitte die Betreffzeile dieser E-Mail. Dieser Vorgang wird von der
Abuse-Abteilung bearbeitet, die ausschließlich über die E-Mail-Adresse
abuse@t-online.de zu erreichen ist. Die Kundenberater unseres Service
Center Technik oder der Telekom Hotline können Ihnen in dieser Sache
keine telefonischen oder schriftlichen Auskünfte erteilen.
Hinweise zur Vorbeugung, Hintergrundinformationen und unsere
Kontakt-Seite finden Sie online unter: http://www.t-online.de/abuse


Merkblatt Sicherheit

Wie wird schadhafter Code häufig von Ihrem Rechner aus missbräuchlich
eingesetzt?

Ist Ihr Computer mit schadhaftem Code (zum Beispiel Viren, Würmer oder
Trojaner) infiziert, so befindet er sich häufig nicht mehr vollständig
unter Ihrer Kontrolle. Sobald eine Verbindung zum Internet besteht,
können Angreifer potentiell unerkannt auf Ihren Computer und Ihre Daten
zugreifen. Weiterhin kann auch Ihre Internetverbindung missbräuchlich
genutzt werden:

- Schadsoftware kann sich von Ihrem Computer aus per E-Mail weiter
verbreiten. Dies geschieht bei aktuellen Viren und Würmern unabhängig
von dem auf dem Computer installierten E-Mail-Programmen bzw. den vom
Benutzer registrierten E-Mail-Accounts. Der schadhafte Code verwendet
dazu ein von ihm selbst installiertes Programm (eine sogenannte
'SMTPEngine'), welches seine Arbeit im Hintergrund und vom Benutzer
unbemerkt verrichtet.
- Massenmail-Versender (Spammer) können unbemerkt auf Ihren Computer
zugreifen und Ihre Internetverbindung für die Verbreitung von E-Mail
Werbung in großer Anzahl benutzen. Spammer nutzen dafür die SMTP-Engine
der Schadsoftware oder installieren weitere Hintertüren und steuern über
diese Ihre eigenen Programme.
- In Ihrem Adressbuch und anderen Dateien gespeicherten E-Mail-Adressen
können in die Hände von E-Mail-Massenversendern geraten und zur
Belästigung durch unerwünschte Werbung (Spam) verwendet werden.
- Schadsoftware kann von Ihrem Computer über Ihre Internetverbindung
weiterhin Portscans ausführen, um nach anderen Computern mit
Sicherheitslücken zu suchen und diese dann ebenfalls anzugreifen.
- Ihr Computer kann für Angriffe gegen Server (zum Beispiel sogenannte
'DoS-Attacken') genutzt werden.

Wie können Sie potenzielle Infektionen Ihres Computers erkennen?

Unter www.t-online.de/sicherheitscheck (Virenerkennung) bieten wir Ihnen
einen kostenlosen Sicherheits-Check für Ihren Computer an, der eine
Vielzahl von schadhaften Codes erkennt. Werden Infektionen oder
Sicherheitslücken gefunden, sollten Sie dringend Ihren Virenscanner auf
den neuesten Stand bringen (zum Beispiel mit einem Update) und dann mit
diesem Ihrem Computer prüfen. Normalerweise löscht dann der Virenscanner
die schadhaften Dateien.
Nutzen mehrere Computer über ein Netzwerk oder einen Router Ihren
Internetzugang, so prüfen Sie bitte jeden Computer einzeln. Um
gegenseitige Beeinflussung der Computer zu vermeiden empfehlen wir
Ihnen, während der Prüfung eines Computers, die andern Computer im
Netzwerk zu deaktivieren.

Sollten Sie den Sicherheits-Check online aus technischen Gründen nicht
ausführen können, überprüfen Sie bitte alle Datenträger Ihres Computers
mit einem aktuellen Virenscanner. Stellen Sie dazu bitte sicher, dass
die Virensignaturen nach Anleitung des Herstellers aktualisiert wurden.

Prüfen Sie bitte auch, ob Ihre Zugangsdaten von Dritten ohne Ihre
Kenntnis verwendet werden könnten. Beachten Sie dazu bitte Punkt [2]
dieses Schreibens. Eine weitere Ursache für unbefugte Zugriffe ist oft
auch die "Datei- und Druckerfreigabe" des Betriebssystems. Unter [3]
beschreiben wir, wie Sie diese deaktivieren können.

Falls Sie einen Proxy-Server, Router oder privaten Mailserver betreiben,
beachten Sie bitte besonders auch die Hinweise unter [4] und [5].
Sollten Sie Ihren Router im WLAN betreiben, beachten Sie bitte Punkt
[6].

Wenn ein Fremdzugriff auf einen Computer stattgefunden hat, ist es
teilweise leider unumgänglich, das Betriebssystem vollständig neu zu
installieren, da einige der durch die Schadsoftware vorgenommen
Manipulationen nur mit Expertenwissen zu finden sind und nur schwer
wieder korrigiert werden können. Wir raten Ihnen, in einem solchen Fall
einen Fachmann hinzuzuziehen.
Wir bitten um Verständnis, dass wir für Fremdsoftware und
Betriebssysteme selbst keine Unterstützung anbieten können. Wenden Sie
sich bei technischen Fragen bitte an den Produkt-Support des
Herstellers.

Nützliche Informationsquellen zum Thema Sicherheit haben wir unter Punkt
[7] zusammengefasst. Hinweise zur Vorbeugung, Hintergrundinformationen
und unsere Kontakt-Seite finden Sie online unter: www.t-online.de/abuse 

Erläuterungen, Informationen und Hinweise:

[1] Grundsätzlich sollten Sie niemals Software oder Dateien aus
unsicheren beziehungsweise unbekannten Quellen verwenden. Falls Sie
unerwartete E-Mails erhalten, öffnen Sie keinesfalls enthaltene
Dateianhänge und ignorieren Sie auch Links in solchen Mails; selbst
dann, wenn Ihnen der Absender vertraut ist, denn auch von Ihnen
bekannten Accounts könnten infizierte Mails versendet worden sein.

[2] Ihre Zugangsdaten (Anschlusskennung und persönliches Kennwort)
sollten Sie stets unter Verschluss halten und unter keinen Umständen an
Dritte weitergeben. Im Falle, dass Sie meinen, dass Ihre Zugangsdaten
missbräuchlich genutzt werden, können Sie kostenfrei neue Daten ganz
einfach schriftlich mit dem Formular anfordern. Dazu gehen Sie auf diese
Seite: http://hilfe.telekom.de/hsp/cms/content/HSP/de/3370/faq-45857734
Ihr persönliches Zugangskennwort (Passwort) können Sie im Kundencenter
unter www.t-online.de/kundencenter jederzeit ändern. Bei Fragen hilft
Ihnen unser Kundenservice auf www.t-online.de/kontakt gerne weiter.

[3] Ist die "Datei- und Druckerfreigabe" in Windows aktiviert, so sind
die Daten Ihrer Laufwerke eventuell für fremde Zugriffe weltweit
freigegeben. Diese Freigabe sollte deaktiviert beziehungsweise gegen
unberechtigten Zugriff geschützt werden. Hilfe zur Konfiguration finden
Sie in der Windows-Hilfe ("Start" > "Hilfe"), indem Sie dort einfach
nach "Datei- und Druckerfreigabe deaktivieren" suchen. Ändern Sie
anschließend bitte vorsorglich Ihr Zugangskennwort oder fordern Sie ggf.
neue Zugangsdaten wie unter [2] beschrieben an.

[4] Bei Fehlkonfiguration ihres Routers oder Proxy Servers könnten
Dritte ihr falsch konfiguriertes System als Gateway nutzen und mit Ihrer
Identität darauf zugreifen. Bitte installieren und konfigurieren Sie
grundsätzlich keine sicherheitskritische Software, bevor Sie deren
Dokumentation nicht vollständig gelesen und verstanden haben.
Berücksichtigen Sie bitte auch, dass Software fehlerbehaftet sein kann,
besondere Kenntnisse zur Konfiguration notwendig sind und gegebenenfalls
von den Herstellern herausgegebene Patches oder Updates regelmäßig
installiert werden müssen.

[5] Betreiben Sie einen privaten Mailserver oder Mailproxy, so stellen
Sie sicher, dass Dritte nicht unberechtigt E-Mails über diesen Server
versenden können. Nähere Angaben zur Konfiguration finden Sie in der
Dokumentation zur Software. Beachten Sie bitte auch die Hinweise unter
[4].

[6] Beim Betrieb Ihres Routers im WLAN, ist dessen Fehlkonfiguration
eine naheliegende Ursache für unbefugte Zugriffe auf Ihren Computer.
Konfigurieren Sie Ihren Router in jedem Fall so, dass Dritte nicht von
außen auf Ihr System und Ihre Internetverbindung zugreifen können.
Details hierzu finden Sie im Handbuch und den Internetseiten des
Herstellers, sowie auf unseren Service-Seiten zum Thema WLAN unter
service.t-online.de/c/16/06/37/14/16063714.html

Für einen sicheren Betrieb sind folgende Einstellungen erforderlich:

* SSID unterdrücken (Name der WLAN Verbindung)
* WPA Verschlüsselung aktivieren (besser WPA2)
* nur bekannte Mac-Adressen für den Zugriff auf das WLAN zulassen
(Nummer der Netzwerkkarte)
* Router Zugang mit individuellem Passwort sichern, das heißt
Standardpasswort abändern

[7] Weitere Informationen, Hilfen und aktuelle Hinweise zum Thema
Sicherheit im Internet finden Sie unter www.t-online.de/sicherheit sowie
im Bereich "Computer" auf www.t-online.de in der Unterrubrik
"PC-Sicherheit" und auch auf den folgenden nützlichen
Informationsseiten:

www.bsi-fuer-buerger.de
http://hoax-info.tubit.tu-berlin.de/software/security.shtml
www.heise.de/security/artikel/knowhow/
www.heise.de/security/dienste/
www.microsoft.de/sicherheit/

In den Service-Foren und Newsgruppen haben Sie die Möglichkeit, sich mit
anderen Kunden unter anderem über Sicherheits- und Konfigurationsfragen
auszutauschen. Sie erreichen die Service-Foren online unter
www.forum.t-online.de Die Benutzung des Usenet wird unter
www.t-online.de/newsgroups ausführlich beschrieben. Dort finden Sie auch
Newsgruppen, die exklusiv Telekom Kunden vorbehalten sind.

Begriffserklärungen:

IP-Adresse (Internet Protokoll-Adresse):
Eine IP-Adresse wird Ihnen bei jeder Einwahl ins Internet zugewiesen.
Die IP-Adresse entspricht funktional der Telefonnummer in einem
Telefonnetz. Sie erhalten eine dynamische IP, das heißt bei jeder neuen
Einwahl ins Internet wird Ihnen eine zufällig ausgewählte IP-Adresse
zugewiesen. Diese dient zur eindeutigen Adressierung von Computer und
Netzwerkgeräten, zum Beispiel Ihrem Router. Die IP-Adresse besteht aus
einer Zahlenfolge mit folgendem Aufbau: vier Zahlen von 0 bis 255, durch
einen Punkt getrennt (zum Beispiel 212.185.47.88). Die IP-Adresse ist
nicht zu verwechseln mit einer URL wie www.t-online.de

Webserver:
Ein Webserver ist ein Server, der Informationen über das Hypertext
Transfer Protocol (HTTP) zur Verfügung stellt. Typischerweise wird über
eine URL (www.beispiel.de) auf die Inhalte zugegriffen.

Phishing Seiten:
Phishing werden Versuche genannt, die über gefälschte WWWAdressen Daten
eines Internet-Benutzers zu erlangen. Es handelt sich meist um
kriminelle Handlungen, die Techniken des Social Engineering verwenden,
das heißt Phisher geben sich als vertrauenswürdige Personen aus und
versuchen, durch gefälschte Links, in elektronische Nachrichten an
sensible Daten wie Benutzernamen und Passwörter für Online-Banking oder
Kreditkarteninformationen zu gelangen. Phishing-Nachrichten werden meist
per E-Mail oder Instant Messaging versandt und fordern den Empfänger
auf, auf einer präparierten Webseite oder am Telefon geheime
Zugangsdaten preiszugeben.
Header:
Code: 
Return-path: <abuse@t-online.de>
Erhalten: from fwd04.aul.t-online.de (fwd04.aul.t-online.de [172.20.26.149]) by mhead703 (Cyrus v2.3.15-fun-3.2.0.4-1) with LMTPA; Tue, 23 Feb 2010 19:27:52 +0100
X-sieve: CMU Sieve 2.3
Erhalten: from mail.t-online-team.de (S+VnuGZFZh0pTnw1N7KaginFJ9kMIE6oH-vwtr3wpdsrOn7KCoRLPxrs3ny0VApQbN@[194.25.187.129]) by fwd04.t-online.de with esmtp id 1NjzTy-0SOA3U0; Tue, 23 Feb 2010 19:27:42 +0100
Von: Deutsche Telekom Abuse Team Harald Stein <abuse@t-online.de>
An: MEINE KUNDEN NR-0001@t-online.de
Betreff: [Abuse-ID:30026306] Account: MEINE KUNDEN NR-0001
Datum: 23.02.2010 19:27:50
Organization: Deutsche Telekom AG
Message-id: <4bd01e24.13381921@mailto.t-online.de>
X-mailer: Forte Agent 2.0/32.652
Mime-version: 1.0
Content-type: text/plain; charset=ISO-8859-1
Content-transfer-encoding: 8bit
X-id: S+VnuGZFZh0pTnw1N7KaginFJ9kMIE6oH-vwtr3wpdsrOn7KCoRLPxrs3ny0VApQbN
X-toi-spam: n;1;2010-02-23T18:27:52Z
X-toi-msgid: b389a86d-90d9-4a66-b951-0007d0022b54
X-seen: false
X-envelope-to: <MEINE KUNDENNR-0001@t-online.de>
X-evolution-source: imap://MEINEMAILt-online.de@secureimap.t-online.de/

Inhalt der 1. Mail war fast identisch, außer dass geschrieben wurde "wurde Schadcode versendet" und nicht "wurde erneut.."

Header der 1:
Code: 
Return-path: <abuse@t-online.de>
Erhalten: from mailin05.aul.t-online.de (mailin05.aul.t-online.de [172.20.27.44]) by mhead703 (Cyrus v2.3.15-fun-3.2.0.4-1) with LMTPA; Wed, 17 Feb 2010 08:55:13 +0100
X-sieve: CMU Sieve 2.3
Erhalten: from imh00.t-online.com ([172.20.101.14]) by mailin05.aul.t-online.de with esmtp id 1NhekS-1KwifI0; Wed, 17 Feb 2010 08:55:04 +0100
Erhalten: from abuse.t-online.de by imh00.t-online.com  with esmtp id 1NhekS-0003KI-00; Wed, 17 Feb 2010 08:55:04 +0100
An: KUNDENNR-0001@t-online.de
Von: Deutsche Telekom Abuse-Team <abuse@t-online.de>
Betreff: [Abuse-ID:29629756] Account: KUNDENNR-0001
User-agent: nhgbreznuare 0.1
Mime-version: 1.0
Content-type: text/plain; charset=ISO-8859-1
Content-transfer-encoding: 8bit
Message-id: <E1NhekS-0003KI-00@imh00.t-online.com>
Datum: 17.02.2010 08:55:04
X-toi-spam: n;1;2010-02-17T07:55:13Z
X-toi-virusscan: clean
X-toi-expurgateid: 149288::1266393313-000002AC-D28EAFED/0-0/0-0
X-toi-spamclass: CLEAN, NORMAL
X-toi-msgid: 178aafe8-74d1-4711-b818-0f83d33d83ec
X-seen: false
X-envelope-to: <Kundennr-0001@t-online.de>
X-evolution-source: imap://MEINE MAIL%40t-online.de@secureimap.t-online.de/

Also bin ernsthaft irritiert, zumal die Mail echt aussieht. Aber es sind keine verwertbaren Infos drin, außer einer Werbung für Norton omg.

Möchte bei euch mal ein paar Infos und Ideen einholen.

Das interessante: Ich selbst bin seit mind. nem halben Jahr mit einem Ubuntu 9.10, das 100% auf Stand ist unterwegs. Entweder der Acrobat oder der Firefox hat ein Loch reingerissen, oder etwas anderes ist Krumm.

Wie kann ich hier noch checken außer den Traffic n bisschen mitzuschneiden?

Ansonsten wurde das Postfach nur von einem Win7 Rechner aufgerufen, per Webmail. Checke den nochmal gerade mit Gdata bootdisk, ABER das ist mein Zocker PC, damit war ich nirgendwo was weh tun könnte, außerdem ist auch der auf Stand mit den Updates.

Dann läuft hier noch ein Ubuntu Server, bei dem ich jetzt die Logfiles durchforste, OBWOHL ich dort keine Email-Addy und erst recht keine Zugangsdaten eingetragen habe, darüber hinaus läuft nur ein unkonfigurierter Sendmail, Kolab war drauf, wurde aber runter gekloppt und sonst nix was mit Email Verbindung hätte würd ich sagen.

Mein Mail client ist Evolution.


Also, was tun ? Sehr seltsam das Ganze.

Gruß und danke an alle die sich meinem Problem annehmen!

EDIT: seltsam, was hab ich denn da ge-whois-t? :D 172.20.101.14, wenn das mal keine lokale ip is?
 
Sowas habe ich vor kurzem auch von 1und1 bekommen. Die sah auch seriös aus, da keinerlei Links oder Anhänge enthalten waren.
 
Die Internetprovider nehmen das Thema Sicherheit im Netz sehr ernst.
Man sollte sich mal die AGB durchlesen.

Überprüft lieber eure Computer auf Intrusion.
Norton und Konsorten helfen recht wenig beim Auffinden von Eindringlingen auf dem eigenen Rechner.
Was vorgefallen ist, lässt sich einfach beschreiben:
a.) Jemand hat eure PCs kompromittiert und darauf einen Mailserver eingerichtet.
b.) Eure Rechner Scannen ganze IP-Ranges ab wegen einer Infektion

Postet mal bitte die Ausgabe von dem befehl netstat. (sollte auf Windowsmaschinen im CMD ausführbar sein)

P.S.:

Nur ein kleiner teil von 172er Range ist intern.
http://www.faqs.org/rfcs/rfc1918.html
Komisch, dann müsste es doch eine Interne Adresse sein.
 
Zuletzt bearbeitet:
Also folgendes hat siche ergeben:

Habe Antwort der Telekom, ist wohl echt echt.
Code: 
Sehr geehrter Herr ********,

vielen Dank für Ihre Rückmeldung.
 
Anhand dieser Daten haben wir Ihren Account / Anschluss ermittelt:

| Virus: Zeus
| IP: 91.44.47.172
| Time: 1266776143 (2010-02-21 19:15:43 +0100)

Unserer Erfahrung nach, erkennt und entfernt die Software CureIt! der
Firma Dr. FreeWeb den Virus zuverlässig. Sie können sie kostenlos unter
dem folgenden Link downloaden:               http://www.freedrweb.com

Hier erhalten Sie weitere Informationen:
https://www.info-point-security.com/security-themen/malware-viren-spam-phishing/4008-symantec-zeus-der-koenig-der-crimeware-toolkits-im-untergrund.html

Die Firma Symantec erkennt die unterschiedlichen Varianten der Zeus
Trojaner Familie als Trojan.Wsnpoem, Infostealer.Banker.C und
Packed.Generic.232.

Auf dieser Seite, erhalten Sie ein Entfernungsprogramm:
http://www.pc-virus-removal.com/virus-definition/Zeus.html  (englisch)

Bitte dringend alle Computer prüfen!

So Zeus ist doch von dem Botnetz oder? Wo könnte ich mir sowas einfangen? Egal ich werde prüfen.
Router ist ein W701V (afaik Fritzbox HW) @ 33.04.57 (ist die aktuellste)
Code: 
sudo netstat -tulpen
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp        0      0 0.0.0.0:5298            0.0.0.0:*               LISTEN      1000       298696      8830/telepathy-salu
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      0          364467      2906/cupsd      
tcp        0      0 0.0.0.0:5688            0.0.0.0:*               LISTEN      5          6881        1705/ggzd       
tcp        0      0 127.0.0.1:5984          0.0.0.0:*               LISTEN      106        83645       5631/beam.smp   
tcp        0      0 127.0.0.1:37890         0.0.0.0:*               LISTEN      115        159842      6072/vdr        
tcp        0      0 127.0.0.1:56164         0.0.0.0:*               LISTEN      1000       434771      11582/ssl_esock 
tcp        0      0 127.0.0.1:50286         0.0.0.0:*               LISTEN      1000       434295      11563/beam.smp  
tcp        0      0 0.0.0.0:2001            0.0.0.0:*               LISTEN      115        159991      6072/vdr        
tcp6       0      0 :::5298                 :::*                    LISTEN      1000       298697      8830/telepathy-salu
tcp6       0      0 ::1:631                 :::*                    LISTEN      0          364466      2906/cupsd      
udp        0      0 0.0.0.0:57043           0.0.0.0:*                           105        5104        1271/avahi-daemon: 
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           105        5103        1271/avahi-daemon: 
udp        0      0 255.255.255.255:37890   0.0.0.0:*                           115        159843      6072/vdr

Die netstats von den win rechnern kommen gleich.
 
Zuletzt bearbeitet:
Bei mir ist das gar nicht möglich. Der Forefront TMG läßt nur SMTP Traffic vom Exchange Server zu.
 
Also, mittlerweile bin ich so weit, dass ich nach wie vor nix gefunden habe, aber jetzt jeden Traffic der als Zielport 25 hat vom ipcop geloggt wird.

Habe eine weitere Mail erhalten, angeblich wurde um 7:15 etwas verschickt - Sonntag morgen :D

da kam ich tatsächlich gerade von einer LAN nach hause und habe Lappi + Server angemacht. Beides Linux Systeme, existiert ZEUS (denn angeblich handelte es sich darum) für Linux?!

Oh man, ich les seit 2 Tagen 5k Zeilen Logs pro Tag, weiß echt nimmer was ich machen soll
 
Natürlich kann es sein das dein Linux infiziert ist, bloss dir selber schadet es nicht. Das Problem besteht darin das der Virus von deinem Rechner weitergeschickt wird und anderen Usern von Windows schadet.

Poste mal alle laufenden Prozesse mit "ps aux" und checke auch mal Ordner wie /tmp/ da wird gerne mal ein Programm abgelegt.
 
Frage mich halt nur, wie ich da dran gekommen sein könnte..

Code: 
deadball@laptop:~$ ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  19460  1684 ?        Ss   Mar01   0:01 /sbin/init
root         2  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kthreadd]
root         3  0.0  0.0      0     0 ?        S<   Mar01   0:00 [migration/0]
root         4  0.0  0.0      0     0 ?        S<   Mar01   0:01 [ksoftirqd/0]
root         5  0.0  0.0      0     0 ?        S<   Mar01   0:00 [watchdog/0]
root         9  0.0  0.0      0     0 ?        S<   Mar01   0:01 [events/0]
root        11  0.0  0.0      0     0 ?        S<   Mar01   0:00 [cpuset]
root        12  0.0  0.0      0     0 ?        S<   Mar01   0:00 [khelper]
root        13  0.0  0.0      0     0 ?        S<   Mar01   0:00 [netns]
root        14  0.0  0.0      0     0 ?        S<   Mar01   0:00 [async/mgr]
root        15  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kintegrityd/0]
root        17  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kblockd/0]
root        19  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kacpid]
root        20  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kacpi_notify]
root        21  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kacpi_hotplug]
root        22  0.0  0.0      0     0 ?        S<   Mar01   0:00 [ata/0]
root        24  0.0  0.0      0     0 ?        S<   Mar01   0:00 [ata_aux]
root        25  0.0  0.0      0     0 ?        S<   Mar01   0:00 [ksuspend_usbd]
root        26  0.0  0.0      0     0 ?        S<   Mar01   0:00 [khubd]
root        27  0.0  0.0      0     0 ?        S<   Mar01   0:02 [kseriod]
root        28  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kmmcd]
root        29  0.0  0.0      0     0 ?        S<   Mar01   0:00 [bluetooth]
root        30  0.0  0.0      0     0 ?        S    Mar01   0:00 [khungtaskd]
root        32  0.0  0.0      0     0 ?        S    Mar01   0:10 [pdflush]
root        33  0.0  0.0      0     0 ?        S<   Mar01   0:10 [kswapd0]
root        34  0.0  0.0      0     0 ?        S<   Mar01   0:00 [aio/0]
root        36  0.0  0.0      0     0 ?        S<   Mar01   0:00 [ecryptfs-kthrea]
root        37  0.0  0.0      0     0 ?        S<   Mar01   0:00 [crypto/0]
root        45  0.0  0.0      0     0 ?        S<   Mar01   0:00 [pciehpd]
root        54  0.0  0.0      0     0 ?        S<   Mar01   0:00 [scsi_eh_0]
root        55  0.0  0.0      0     0 ?        S<   Mar01   0:10 [scsi_eh_1]
root        56  0.0  0.0      0     0 ?        S<   Mar01   0:00 [scsi_eh_2]
root        57  0.0  0.0      0     0 ?        S<   Mar01   0:00 [scsi_eh_3]
root        70  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kstriped]
root        71  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kmpathd/0]
root        73  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kmpath_handlerd]
root        74  0.0  0.0      0     0 ?        S<   Mar01   0:00 [ksnapd]
root        75  0.0  0.0      0     0 ?        S<   Mar01   0:02 [kondemand/0]
root        77  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kconservative/0]
root        79  0.0  0.0      0     0 ?        S<   Mar01   0:00 [krfcommd]
root       368  0.0  0.0      0     0 ?        S<   Mar01   0:00 [i915/0]
root       512  0.0  0.0      0     0 ?        R<   Mar01   0:00 [kdmflush]
root       515  0.0  0.0      0     0 ?        S<   Mar01   0:02 [kcryptd_io]
root       516  0.1  0.0      0     0 ?        S<   Mar01   4:26 [kcryptd]
root       530  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kdmflush]
root       535  0.0  0.0      0     0 ?        D<   Mar01   0:00 [kdmflush]
root       572  0.0  0.0      0     0 ?        D<   Mar01   0:04 [kjournald2]
root       636  0.0  0.0  16924   556 ?        S<s  Mar01   0:00 udevd --daemon
root       676  0.0  0.0      0     0 ?        S<   Mar01   0:00 [ktpacpid]
root       929  0.0  0.0      0     0 ?        S<   Mar01   0:00 [kpsmoused]
root      1037  0.0  0.0      0     0 ?        S<   Mar01   0:00 [pccardd]
root      1054  0.0  0.0      0     0 ?        S<   Mar01   0:11 [iwlagn]
root      1062  0.0  0.0      0     0 ?        S<   Mar01   0:02 [phy0]
root      1098  0.0  0.0      0     0 ?        S<   Mar01   0:00 [hd-audio0]
root      1164  0.0  0.0   8192   492 ?        Ss   Mar01   0:00 dd bs=1 if=/proc/kmsg of=/var/run/rsyslog/kmsg
syslog    1166  0.0  0.0 125956  1516 ?        Sl   Mar01   0:06 rsyslogd -c4
102       1170  0.0  0.0  24360  1900 ?        Ss   Mar01   0:07 dbus-daemon --system --fork
avahi     1178  0.0  0.0  31884  1552 ?        Ss   Mar01   0:00 avahi-daemon: running [deadball-laptop.local]
108       1179  0.0  0.1  34200  2680 ?        Ss   Mar01   0:04 hald --daemon=yes
root      1180  0.0  0.1  75064  3016 ?        Ss   Mar01   0:00 gdm-binary
avahi     1187  0.0  0.0  31760   324 ?        Ss   Mar01   0:00 avahi-daemon: chroot helper
root      1196  0.0  0.1  51480  2156 ?        S    Mar01   0:00 /usr/sbin/modem-manager
root      1199  0.0  0.1  54688  2476 ?        Ssl  Mar01   0:00 /usr/sbin/console-kit-daemon
root      1265  0.0  0.0  20060  1248 ?        S    Mar01   0:00 hald-runner
root      1266  0.0  0.1  76936  2988 ?        S    Mar01   0:00 /usr/lib/gdm/gdm-simple-slave --display-id /org/
root      1269  1.7  2.7 167332 55888 tty7     Ss+  Mar01  72:36 /usr/bin/X :0 -br -verbose -auth /var/run/gdm/au
couchdb   1271  0.0  0.0   4004   280 ?        S    Mar03   0:00 /bin/sh -e /usr/bin/couchdb -a \"/etc/couchdb/de
couchdb   1272  0.0  0.6 111732 12760 ?        Sl   Mar03   0:01 /usr/lib/erlang/erts-5.7.2/bin/beam.smp -Bd -K t
couchdb   1281  0.0  0.0   3772   492 ?        Ss   Mar03   0:00 heart -pid 1272 -ht 11
root      1343  0.0  0.0  28216  1932 ?        S    Mar01   0:00 /sbin/wpa_supplicant -u -s
root      1398  0.0  0.0   5988   492 tty4     Ss+  Mar01   0:00 /sbin/getty -8 38400 tty4
root      1400  0.0  0.0   5988   492 tty5     Ss+  Mar01   0:00 /sbin/getty -8 38400 tty5
root      1405  0.0  0.0   5988   492 tty2     Ss+  Mar01   0:00 /sbin/getty -8 38400 tty2
root      1406  0.0  0.0   5988   492 tty3     Ss+  Mar01   0:00 /sbin/getty -8 38400 tty3
root      1413  0.0  0.0   5988   492 tty6     Ss+  Mar01   0:00 /sbin/getty -8 38400 tty6
root      1426  0.0  0.0   5144  1780 ?        Ss   Mar01   0:00 acpid -c /etc/acpi/events -s /var/run/acpid.sock
daemon    1441  0.0  0.0  16512   328 ?        Ss   Mar01   0:00 atd
root      1443  0.0  0.0  18708   836 ?        Ss   Mar01   0:00 cron
root      1458  0.0  0.0  22176  1152 ?        S    Mar01   0:00 /usr/lib/hal/hald-addon-rfkill-killswitch
root      1473  0.0  0.0  22176  1168 ?        S    Mar01   0:00 /usr/lib/hal/hald-addon-leds
root      1487  0.0  0.0  22176  1048 ?        S    Mar01   0:00 /usr/lib/hal/hald-addon-generic-backlight
root      1527  0.0  0.0  22184  1304 ?        S    Mar01   0:13 hald-addon-storage: polling /dev/sr0 (every 2 se
root      1546  0.0  0.0  22192  1016 ?        S    Mar01   0:00 /usr/lib/hal/hald-addon-cpufreq
108       1551  0.0  0.0  26084  1120 ?        S    Mar01   0:00 hald-addon-acpi: listening on acpid socket /var/
root      1553  0.0  0.0  22184  1172 ?        S    Mar01   0:03 hald-addon-input: Listening on /dev/input/event8
couchdb   1591  0.0  0.0   4004   628 ?        S    Mar01   0:00 /bin/sh -e /usr/bin/couchdb -a \"/etc/couchdb/de
games     1702  0.0  0.0  39548   476 ?        Ss   Mar01   0:00 /usr/sbin/ggzd
nobody    1721  0.0  0.0  12344   424 ?        Ss   Mar01   0:08 /usr/sbin/inputlircd /dev/input/event0 /dev/inpu
root      1862  0.0  0.0  63536   836 ?        Ss   Mar01   0:00 /usr/sbin/winbindd
root      1865  0.0  0.0  63536   688 ?        S    Mar01   0:00 /usr/sbin/winbindd
gdm       1930  0.0  0.0  26156   544 ?        S    Mar01   0:00 /usr/bin/dbus-launch --exit-with-session
root      1950  0.0  0.6  59876 12936 ?        S    Mar01   0:26 /usr/lib/devicekit-power/devkit-power-daemon
root      2045  0.0  0.1  89384  2464 ?        S    Mar01   0:00 /usr/lib/gdm/gdm-session-worker
root      2108  0.0  0.0  67200   928 ?        Ss   Mar01   0:01 sendmail: MTA: accepting connections          
root      2156  0.0  0.0  75124  1532 ?        Ss   Mar01   0:00 /usr/sbin/cupsd -C /etc/cups/cupsd.conf
root      2284  0.0  0.0  61644  1996 ?        S    Mar01   0:24 python /usr/sbin/tpfand --quiet
timidity  2435  0.0  0.0 104204  1804 ?        S    Mar01   0:00 /usr/bin/timidity -Os -iAD
root      2438  0.0  0.0   5988   492 tty1     Ss+  Mar01   0:00 /sbin/getty -8 38400 tty1
deadball       3089  0.0  0.5 202152 10040 ?        Sl   Mar01   0:00 /usr/bin/gnome-keyring-daemon --daemonize --logi
deadball       3104  0.0  0.3 166992  6716 ?        Ssl  Mar01   0:01 gnome-session
deadball       3146  0.0  0.0  36060   388 ?        Ss   Mar01   0:00 /usr/bin/ssh-agent /usr/bin/dbus-launch --exit-w
deadball       3149  0.0  0.2  26660  4248 ?        Ss   Mar01   0:23 /bin/dbus-daemon --fork --print-pid 7 --print-ad
deadball       3150  0.0  0.0  26156   544 ?        S    Mar01   0:00 /usr/bin/dbus-launch --exit-with-session /usr/bi
deadball       3156  0.2  0.2 204592  4272 ?        Ssl  Mar01  11:44 /usr/bin/pulseaudio --start
deadball       3158  0.0  0.1  94312  2468 ?        S    Mar01   0:00 /usr/lib/pulseaudio/pulse/gconf-helper
deadball       3160  0.0  0.2  47080  5052 ?        S    Mar01   0:19 /usr/lib/libgconf2-4/gconfd-2
deadball       3171  0.0  0.7 335480 14596 ?        Ssl  Mar01   0:24 /usr/lib/gnome-settings-daemon/gnome-settings-da
deadball       3172  0.0  0.2 193364  5996 ?        Ss   Mar01   0:00 seahorse-daemon
deadball       3174  0.0  0.1  43572  2448 ?        S    Mar01   0:00 /usr/lib/gvfs/gvfsd
deadball       3179  0.0  0.1  75500  2416 ?        Ssl  Mar01   0:00 /usr/lib/gvfs//gvfs-fuse-daemon /home/deadball/.gvfs
deadball       3196  0.0  0.7 207668 15152 ?        S    Mar01   0:34 /usr/lib/notify-osd/notify-osd
deadball       3197  0.0  0.0   4004   504 ?        S    Mar01   0:00 /bin/sh /usr/bin/compiz
deadball       3256  0.3  0.9 378860 19720 ?        S    Mar01  13:04 /usr/bin/compiz.real --ignore-desktop-hints --re
deadball       3257  0.0  1.7 481456 34504 ?        Sl   Mar01   2:04 gnome-panel
deadball       3258  0.0  2.3 592448 47296 ?        Sl   Mar01   0:55 nautilus
deadball       3260  0.0  0.1 152556  3680 ?        Ssl  Mar01   0:00 /usr/lib/bonobo-activation/bonobo-activation-ser
deadball       3267  0.0  0.6 221120 12488 ?        S    Mar01   0:00 /usr/bin/python /usr/bin/ubuntuone-client-applet
deadball       3272  0.0  0.7 319216 15144 ?        S    Mar01   0:00 /usr/lib/gnome-applets/trashapplet --oaf-activat
deadball       3274  0.0  0.3 160636  6364 ?        S    Mar01   0:00 /usr/lib/gnome-disk-utility/gdu-notification-dae
deadball       3283  0.0  0.7 222532 14308 ?        S    Mar01   0:10 python /usr/share/system-config-printer/applet.p
deadball       3287  0.0  0.6 193188 13360 ?        S    Mar01   0:00 /usr/lib/policykit-1-gnome/polkit-gnome-authenti
deadball       3292  0.0  0.5 178004 11520 ?        S    Mar01   0:00 bluetooth-applet
root      3296  0.0  0.1  51032  3276 ?        S    Mar01   0:03 /usr/lib/devicekit-disks/devkit-disks-daemon
root      3297  0.0  0.0  42188   632 ?        S    Mar01   0:05 devkit-disks-daemon: polling /dev/sr0       
deadball       3299  0.0  0.1 152928  3620 ?        S    Mar01   0:00 /usr/lib/gvfs/gvfs-gdu-volume-monitor
root      3301  0.0  0.1  59248  3780 ?        S    Mar01   0:00 /usr/lib/policykit-1/polkitd
deadball       3304  0.0  0.1 124028  3396 ?        S    Mar01   0:00 /usr/lib/gvfs/gvfsd-trash --spawner :1.9 /org/gt
deadball       3305  0.0  0.6 275636 12068 ?        S    Mar01   0:00 gnome-volume-control-applet
deadball       3306  0.0  0.6 421320 12392 ?        Sl   Mar01   0:00 /usr/lib/evolution/2.28/evolution-alarm-notify
deadball       3314  0.0  0.8 238716 17344 ?        S    Mar01   0:04 nm-applet --sm-disable
deadball       3318  0.0  0.5 179892 11476 ?        S    Mar01   0:01 update-notifier --startup-delay=60
deadball       3323  0.0  0.6 280680 13992 ?        Sl   Mar01   0:03 gnome-power-manager
deadball       3327  0.0  0.1  43352  2280 ?        S    Mar01   0:00 /usr/lib/gvfs/gvfsd-burn --spawner :1.9 /org/gtk
deadball       3328  0.0  0.2 171280  5796 ?        Ss   Mar01   0:04 gnome-screensaver
deadball       3330  0.0  0.0  50512  1996 ?        S    Mar01   0:00 /usr/lib/gvfs/gvfs-gphoto2-volume-monitor
deadball       3332  0.0  0.4 244640  8940 ?        Sl   Mar01   2:10 /usr/bin/python /usr/lib/ubuntuone-client/ubuntu
deadball       3333  0.0  0.0   4004   472 ?        Ss   Mar01   0:00 /bin/sh -c /usr/bin/compiz-decorator
deadball       3334  0.0  0.7 195196 14892 ?        S    Mar01   0:44 /usr/bin/gtk-window-decorator
deadball       3351  0.0  1.2 154880 25460 ?        Sl   Mar01   2:25 /usr/bin/python /usr/lib/ubuntuone-client/ubuntu
deadball       3395  0.0  0.6 262512 13992 ?        S    Mar01   0:14 /usr/lib/gnome-applets/stickynotes_applet --oaf-
deadball       3397  0.0  0.5 239796 11552 ?        S    Mar01   0:04 /usr/lib/gnome-applets/gnome-keyboard-applet --o
deadball       3403  0.0  0.4 229504  9888 ?        S    Mar01   1:07 /usr/lib/gnome-applets/multiload-applet-2 --oaf-
deadball       3409  0.0  0.6 242012 12224 ?        S    Mar01   0:00 /usr/lib/indicator-applet/indicator-applet-sessi
deadball       3412  0.0  0.5 211844 10424 ?        S    Mar01   0:56 /usr/lib/gnome-applets/cpufreq-applet --oaf-acti
deadball       3415  0.0  0.9 248652 18052 ?        S    Mar01   0:13 /usr/lib/indicator-applet/indicator-applet --oaf
deadball       3552  0.0  0.1  95636  3692 ?        S    Mar01   0:00 /usr/lib/indicator-session/indicator-status-serv
deadball       3554  0.0  0.1  42168  2040 ?        S    Mar01   0:00 /usr/lib/indicator-session/indicator-users-servi
deadball       3556  0.0  0.1  51088  2636 ?        S    Mar01   0:00 /usr/lib/indicator-session/indicator-session-ser
deadball       3558  0.0  0.4  71460  9696 ?        S    Mar01   0:09 /usr/lib/indicator-messages/indicator-messages-s
deadball       3573  0.0  0.1  35312  2136 ?        S    Mar01   0:01 /usr/lib/gvfs/gvfsd-metadata
deadball       3647  0.0  0.5 546492 10884 ?        Sl   Mar01   0:00 /usr/lib/evolution/evolution-data-server-2.28 --
root      3665  0.0  0.4  72120  8528 ?        S    Mar01   0:00 /usr/bin/python /usr/lib/system-service/system-s
deadball       3692  0.0  0.1  45976  3720 ?        S    Mar01   0:03 /usr/lib/telepathy/mission-control-5
deadball       3867  0.0  3.9 720604 79380 ?        Sl   00:13   0:39 evolution --component=mail
deadball       3873  0.0  0.6 352720 13584 ?        Sl   00:13   0:00 /usr/lib/evolution/2.28/evolution-exchange-stora
deadball       3933  0.0  0.2  91568  4328 ?        S    Mar01   0:00 /usr/lib/gvfs/gvfsd-http --spawner :1.9 /org/gtk
root      4309  0.0  0.0  12636   724 ?        S    Mar01   0:00 upstart-udev-bridge --daemon
deadball       4463  0.0  0.1  58160  3052 ?        S    Mar01   0:00 /usr/lib/gvfs/gvfsd-computer --spawner :1.9 /org
root      4523  0.0  0.0      0     0 ?        S    00:45   0:00 [pdflush]
deadball       5540  0.0  0.0  25160  1340 ?        Ss   Mar01   0:03 SCREEN -d -R
deadball       5541  0.0  0.2  21728  4172 pts/2    Ss+  Mar01   0:00 /bin/bash
root      6375  0.0  0.0   4004   628 ?        S    Mar01   0:00 /bin/sh /usr/sbin/runvdr -v /var/lib/video.00 -c
root      8632  0.0  0.0      0     0 ?        S<   12:40   0:00 [migration/1]
root      8633  0.0  0.0      0     0 ?        S<   12:40   0:00 [ksoftirqd/1]
root      8634  0.0  0.0      0     0 ?        S<   12:40   0:00 [watchdog/1]
root      8635  0.0  0.0      0     0 ?        S<   12:40   0:00 [i915/1]
root      8636  0.0  0.0      0     0 ?        S<   12:40   0:00 [kconservative/1]
root      8637  0.0  0.0      0     0 ?        S<   12:40   0:00 [kondemand/1]
root      8638  0.0  0.0      0     0 ?        S<   12:40   0:00 [kmpathd/1]
root      8639  0.0  0.0      0     0 ?        S<   12:40   0:00 [crypto/1]
root      8640  0.0  0.0      0     0 ?        S<   12:40   0:00 [aio/1]
root      8641  0.0  0.0      0     0 ?        S<   12:40   0:00 [ata/1]
root      8642  0.0  0.0      0     0 ?        S<   12:40   0:00 [kblockd/1]
root      8643  0.0  0.0      0     0 ?        S<   12:40   0:00 [kintegrityd/1]
root      8644  0.0  0.0      0     0 ?        S<   12:40   0:00 [events/1]
root      8695  0.0  0.0  16920   532 ?        S<   12:40   0:00 udevd --daemon
root      8696  0.0  0.0  16920   532 ?        S<   12:40   0:00 udevd --daemon
deadball       8783  0.0  0.0   4004   632 ?        S    12:40   0:00 /bin/sh -e /usr/bin/couchdb -n -a \"/etc/couchdb
deadball       8832  0.0  0.0   4004   364 ?        S    12:40   0:00 /bin/sh -e /usr/bin/couchdb -n -a \"/etc/couchdb
deadball       8833  0.0  0.7 104568 14956 ?        Sl   12:40   0:01 /usr/lib/erlang/erts-5.7.2/bin/beam.smp -Bd -K t
deadball       8842  0.0  0.0   3772   492 ?        Ss   12:40   0:00 heart -pid 8833 -ht 11
root      9005  0.0  0.0   6464  1080 ?        S    12:40   0:00 /sbin/dhclient -d -sf /usr/lib/NetworkManager/nm
deadball       9015  0.0  0.1  73804  3956 ?        S    12:40   0:00 /usr/lib/telepathy/telepathy-salut
deadball       9324  0.0  0.8 244148 16012 ?        Sl   12:51   0:01 /usr/lib/telepathy/telepathy-haze
deadball       9897  0.4  0.3  18176  6380 ?        S    13:16   0:07 /usr/lib/nspluginwrapper/i386/linux/npviewer.bin
deadball       9908  1.2  0.0      0     0 ?        Z    13:16   0:21 [acroread] <defunct>
vdr      10275  0.0  0.4 143412  9132 ?        Sl   13:37   0:00 /usr/bin/vdr -v /var/lib/video.00 -c /var/lib/vd
deadball      10350  0.0  0.0  15164  1136 pts/0    R+   13:44   0:00 ps aux
deadball      11635  0.0  0.6 181852 13352 ?        Sl   Mar02   0:20 tilda
deadball      11638  0.0  0.0  14396   772 ?        S    Mar02   0:00 gnome-pty-helper
deadball      11639  0.0  0.2  21676  4284 pts/0    Ss   Mar02   0:00 [bash]
deadball      25803 10.8 19.1 1392576 383584 ?      Dl   Mar03 149:54 /usr/lib/firefox-3.5.8/firefox
deadball      26031  0.2  5.4 628736 109728 ?       Sl   Mar03   3:36 epiphany-browser
deadball      26811  0.1  0.2  18056  5664 ?        S    Mar03   1:24 /usr/lib/nspluginwrapper/i386/linux/npviewer.bin
deadball      26822  0.0  2.2 130924 45264 ?        Sl   Mar03   0:14 /opt/Adobe/Reader9/Reader/intellinux/bin/acrorea
deadball      30535  0.0  0.9 115772 18580 ?        Sl   Mar03   0:28 /usr/bin/python /usr/lib/desktopcouch/desktopcou
deadball      31431  0.1  2.2 396984 45600 ?        S    Mar03   1:21 empathy
root     31724  0.0  0.2  97148  5600 ?        Ssl  Mar03   0:00 NetworkManager
root     32031  0.0  0.0   6464   620 ?        Ss   Mar03   0:00 dhclient
Code: 
deadball@laptop:~$ ls -la /tmp
insgesamt 172
drwxrwxrwt 22 root root  4096 2010-03-04 13:23 .
drwxr-xr-x 22 root root  4096 2010-02-05 16:28 ..
drwx------  2 deadball  deadball   4096 2010-03-04 13:23 acroread_1000_1000
drwx------  2 deadball  deadball   4096 2010-03-01 18:49 .esd-1000
drwx------  2 gdm  gdm   4096 2010-03-01 18:49 .esd-114
drwx------  2 deadball  deadball   4096 2010-03-01 18:49 .exchange-deadball
srwxr-xr-x  1 deadball  deadball      0 2010-03-03 15:41 filez6vNQl
srwxr-xr-x  1 deadball  deadball      0 2010-03-01 21:34 gnome-system-monitor.deadball.3088321532
drwx------  4 deadball  deadball   4096 2010-03-04 13:21 haze-x51vTc
drwxr-xr-x  2 deadball  deadball   4096 2010-03-02 21:27 hsperfdata_deadball
drwxrwxrwt  2 root root  4096 2010-03-01 18:49 .ICE-unix
drwx------  2 deadball  deadball   4096 2010-03-01 18:49 keyring-4nuUuB
-r--------  1 deadball  deadball  19274 2010-03-01 21:26 ntm-0.9.3.1.tar.gz
drwx------  2 gdm  gdm   4096 2010-03-01 18:49 orbit-gdm
drwx------  2 deadball  deadball   4096 2010-03-04 13:16 orbit-deadball
drwx------  2 deadball  deadball  12288 2010-03-03 14:39 plugtmp
drwx------  2 deadball  deadball  36864 2010-03-04 01:11 plugtmp-1
drwx------  2 gdm  gdm   4096 2010-03-01 18:49 pulse-PKdhtXMmr18n
drwx------  2 deadball  deadball   4096 2010-03-01 21:45 pulse-qeIvOrVBEHUe
drwx------  2 deadball  deadball   4096 2010-03-01 18:49 ssh-XkDeno3104
-rw-------  1 root root   165 2010-03-01 20:50 vdr-err.43EhFb
-rw-------  1 root root   165 2010-03-01 17:03 vdr-err.IbSjgv
-rw-------  1 root root   165 2010-03-04 13:45 vdr-err.Nq604B
-rw-------  1 root root   165 2010-03-01 20:51 vdr-err.rEzT8S
drwx------  2 deadball  deadball   4096 2010-03-01 18:49 virtual-deadball.p8nwV4
drwx------  2 deadball  deadball   4096 2010-03-01 18:49 virtual-deadball.YUXSV4
drwxr-xr-x  2 root root  4096 2010-03-01 17:03 .winbindd
drwx------  3 deadball  deadball   4096 2010-03-01 21:00 .wine-1000
-r--r--r--  1 root root    11 2010-03-01 17:03 .X0-lock
drwxrwxrwt  2 root root  4096 2010-03-01 17:03 .X11-unix
 
hmm bis auf diese CouchDB und vdr nichts ungewöhnliches an Prozessen. Naja, sind ja auch Windows-Viren, die so unter Linux nicht lauffähig sind und auch eigentlich nicht verbreitet werden können - außer man hat ne Netzwerkfreigabe, auf die Windows-Möhren zugreifen können.

Naja, würde man Evolution und die Mailsettings kontrollieren.

Sind denn nicht doch irgendwo Windows-Kisten oder eine Windows-VM im Netz?

Traffic belauschen mit wireshark.
 
sieht sauber aus. da war doch noch ein rechner? ansonsten, hast du noch logs wo 7:15 was gewesen sein soll?

Habe eine weitere Mail erhalten, angeblich wurde um 7:15 etwas verschickt
Zum Vergrößern anklicken....
was meinen die mit "etwas verschickt", die könnten ja auch mal paar logs rausrücken :p? mail, virus oder was? du meintest du hast einen unkonfigurierten sendmail auf dem server, hast du das überprüft? der server ist ans netz angebunden (24/7)?
 
Der sendmail ist aus, der Server ist auch nicht mehr am Netz, habe zu dem Zeitpunkt leider noch keinen ipcop loggen lassen.

Ja es sind windows möhren im Netz, sind aber sauber nach div. Scans und wie gesagt, sie waren an jenem Sonntag Morgen definitiv nicht an.

Und nein die /!")!$" rücken die LOGS nicht richtig raus, bekomme nur Standard copy+paste antworten, habe da angerufen und Druck gemacht, der hatte aba keine Ahnung es hieß, ich werde zurückgerufen omfg

Einzige Info:
Code: 
| Virus: Zeus
| IP: ip..
| Time: 1267337782 (2010-02-28 07:16:22 +0100)
haha ey -.-

couchDB ist von ubuntu und VDR ist mein videorekorder ;) Wie gesagt, ich belausche + logge Traffic direkt mitm Ipcop.

Was soll ich bei Evolution begucken? Da sind 2 Accs, nix besonderes.
 
Zuletzt bearbeitet:
Hallo Allerseits,

wenn das Problem noch akut ist ist eine Frage an Alle:
War das W-Lan Durchgämgig bei allen eingeschaltet.

Ich habe bei Kunden festgestellt, das bei der Telekom im wesentlich das Problem von Würmern und Bots auftritt, sobald das Netz mit W-Lan inkudiert ist.
Fast so wie vor 15 , 15 Jahren, als man sich beim installieren was eingefangen hat..

Das die Telekom und auch ander Anbieter noch mal "extra" Geld verlangen um das eigene Netz sauber zu halten scheint mir eine Geschäftmasche zu sein, vermeindliche Empfänger oder Geschädigte wurden nicht genannt - oder ?

Wäre Dankbar für ein Hinweise ?!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

smashcb
Telekom Sicherheitteam Auffälligkeiten am Anschluss Abuse
2 3
Antworten
40
Aufrufe
3.364
flamy
F
Irrlicht_01
GMX E-Mail Kontaktadresse geändert - aber nicht für meinen Account?
Antworten
5
Aufrufe
2.318
Irrlicht_01
Irrlicht_01
F
Newsletter abbestellen vs Interaktion mit SPAM
Antworten
15
Aufrufe
996
BeBur
B
Eigenbrötla
GMX-Sicherheitswarnung, Databreach
2 3
Antworten
56
Aufrufe
3.637
Eigenbrötla
Eigenbrötla
daspossum
T-Online: Mail-Versand funktioniert nicht mehr securesmtp.t-online.de
Antworten
4
Aufrufe
9.332
Zipfelklatscher
Z
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz